Registreren Inloggen

Digital Operational Resilience Act: digitale weerbaarheid is nu ook het domein van de CFO

DORA EU
DORA vraagt om CFO-leiderschap.

Als CFO in de financiële sector was digitale infrastructuur vaak een onderwerp dat onder de CIO of CISO viel. Met de komst van de Digital Operational Resilience Act (DORA) verandert dat fundamenteel. Deze Europese verordening, die vanaf januari 2025 van kracht is, maakt digitale veerkracht een bestuursverantwoordelijkheid. Niet alleen de technologie moet op orde zijn – ook de governance, risico-allocatie en investeringsstrategie.

Onderstaand overzicht zet de belangrijkste pijlers van DORA uiteen, met nadruk op de relevantie voor de financiële functie binnen banken, verzekeraars, vermogensbeheerders en fintechs.

1. ICT-risicomanagement: van kostenpost naar strategisch kapitaal

DORA vereist dat financiële instellingen een uitgebreid ICT-risicomanagementraamwerk inrichten. Voor CFO’s betekent dit o.a.:

  • Het (her)alloceren van budget voor ICT-continuïteit, backups en systeemvernieuwing.

  • Governance inrichten rondom ICT‑investeringen: van businesscase tot toezicht.

  • Strategische beoordeling van legacy-systemen en de financiële impact van vernieuwing versus onderhoud.

Een jaarlijkse ICT-risicobeoordeling wordt verplicht – inclusief scenario’s voor systeemfalen of cyberaanval. Financiële onderbouwing van deze scenario’s is cruciaal.

2. Incidentrapportage: risicobeheersing én reputatiemanagement

Significante ICT-incidenten moeten binnen vier uur na detectie gemeld worden bij toezichthouders, gevolgd door een inhoudelijk rapport binnen 24 uur. Dit vereist:

  • Heldere interne verantwoordelijkheden (wie classificeert, wie rapporteert?).

  • Afstemming met juridische en communicatieteams om financiële impact en reputatieschade te beperken.

  • Opname van incidentkosten, herstelwerk en verzekering in risicomodellen en financiële planningen.

Voor CFO’s ligt hier een rol in cost-of-risk-analyse en afwegingen rond preventie vs. reactie.

3. Testen van operationele weerbaarheid: kosten of verzekering?

DORA verplicht instellingen om periodiek resilience testing te doen, inclusief penetratietests en scenario-oefeningen. Veel CFO’s zullen zich afvragen: wat kost dit – en wat levert het op?

Belangrijk is om testen niet als kostenpost te zien, maar als operationele verzekering tegen uitval. Testing biedt inzicht in risico’s én het rendement op eerder gedane ICT-investeringen. Het vormt een essentieel onderdeel van enterprise risk management (ERM).

4. Derdepartijenbeheer: toezicht op leveranciers wordt intensiever

CFO’s zijn vaak nauw betrokken bij de selectie en contractering van leveranciers. Onder DORA moeten instellingen:

  • Contracten met ICT-leveranciers standaardiseren met clausules over beschikbaarheid, rapportage en toezicht.

  • Regelmatig risico-evaluaties uitvoeren op derde partijen (denk aan clouddiensten, softwareleveranciers).

  • Kritieke ICT-dienstverleners melden bij de toezichthouder – deze kunnen zelf onder EU-toezicht komen te staan.

Voor inkoop, control en finance betekent dit extra documentatieplicht en heronderhandeling van contractvoorwaarden.

5. Delen van dreigingsinformatie: collectieve weerbaarheid

Hoewel dit primair een taak is voor CISO’s, wordt ook van CFO’s verwacht dat ze ruimte geven aan deelname aan branchebrede samenwerkingen rond cyberdreigingsinformatie (threat intelligence). Dit kan vragen om investeringen in platforms, trainingen en samenwerking met andere instellingen.

CFO’s kunnen hierin bijdragen door een businesscase op te stellen voor deelname aan sectorale netwerken of publieke-private samenwerking rond cybersecurity.

Aanvullende CFO-aandachtspunten:

6. Proportionaliteitsbeginsel

Niet iedere instelling krijgt evenveel DORA-verplichtingen. Voor kleinere instellingen of laagrisicobedrijven gelden vereenvoudigde kaders. CFO’s spelen een rol in de interpretatie van deze proportionaliteit: hoeveel moet er geïnvesteerd worden in lijn met het eigen risicoprofiel?

7. RTS en ITS: extra compliancekosten in kaart brengen

De technische standaarden (RTS en ITS) die volgen op DORA vragen om extra inspanning in rapportage en documentatie. CFO’s moeten de impact hiervan op compliancekosten tijdig inschatten – mogelijk met hulp van externe adviseurs.

Leadership in Finance Summit | Expeditie CFO

De wereld verandert. Onvoorspelbaar. Complex. Vol risico’s én kansen. Juist nu vraagt leiderschap méér dan alleen cijfers. Het vraagt visie. Lef. Kompas. Tijdens 𝗘𝘅𝗽𝗲𝗱𝗶𝘁𝗶𝗲 𝗖𝗙𝗢 gaat een selecte groep CFO’s het avontuur aan door een landschap vol onzekerheid. Geen standaard conferentie,  een dag vol reflectie, strategische verdieping en inspiratie.

Reserveer jouw ticket

DORA vraagt om CFO-leiderschap

DORA is veel meer dan een IT-verordening. Het is een strategisch kader dat raakt aan bedrijfskritische systemen, compliance, reputatie én bedrijfscontinuïteit. Als CFO bent u medeverantwoordelijk voor hoe digitaal veerkrachtig uw organisatie is.

CFO’s die nu investeren in duidelijke governance, robuuste ICT-contracten en geïntegreerd risicomanagement, leggen het fundament voor duurzame groei in een digitale economie. DORA biedt daarbij niet alleen verplichtingen – maar ook kansen om vertrouwen te bouwen bij klanten, toezichthouders én investeerders.

Redactie (CFO)
Gerelateerde artikelen
Derk-Jan van der Wal en Jaap van Everdingen EY
22 juli 2025

Derk-Jan van der Wal en Jaap van Everdingen (EY): “No battle plan ever survives first contact with the enemy.”

Jan-de-Kroon
21 juli 2025

Jan de Kroon: “Financials moeten beter schakelen met hun HR collega’s.” 

usinessman,Analysis,Enterprise,Data,Management,By,Ai,Artificial,Intelligence,Technology.
17 juli 2025

Amazon schrapt banen bij clouddivisie om hoge AI-kosten

Boeken CFO
17 juli 2025

Vijf boeken die elke CFO deze zomer zou moeten lezen (deel II)

Tony de Jonker
16 juli 2025

Tony de Jonker: Hoe je makkelijker kunt zoeken in Excel, dankzij X.ZOEKEN

Jan-de-Kroon
09 juli 2025

Jan de Kroon: de ontwikkeling van de Financiële functie – een Echternachprocessie

LIF 2025 Expeditie CFO
03 juli 2025

Leadership in Finance Summit 2025: Expeditie CFO – Save the date! (28 oktober)

24 juni 2025

Digitalisering factuurverwerkingsproces versterkt concurrentiekracht

Populair

Betaalbaarheid vereist een aanpassing van de postwet.
De eerste 100 dagen van Linde Jansen (CFO bij PostNL): “De continuïteit van postbezorging vraagt om een nieuw model dat financieel uit kan.”
Jansen is CFO in een...
Jeanine Tijhaar Eneco EY
Jeanine Tijhaar (oud-CFO Eneco) wordt lid RvC van EY Nederland
Tijhaar volgt Tanja Nagel op...
Marcel Jansen CFO Hiltermann
Marcel Jansen wordt de nieuwe CFO van Hiltermann Lease
Jansen was eerder CFO bij...

Vacatures

Financial controller
Trymax Semiconductor Equipment B.V.
Senior Business Controller
MOBA via Laudame Financials
Manager Group Control
Novature via Laudame Financials

Markt Update

Tradeinterop overgenomen door softwarebedrijf uit Ede
4CEE versterkt positie op e-invoicing...
E-facturatie wordt uiterlijk 2028 de nieuwe norm in Europa, maar Nederland loopt achter
Hoe zorg ik als CFO...
Maturiteitsniveau Europese bedrijven op gebied ESG-criteria voldoet niet aan verwachtingen EU
Bijna helft van bedrijven heeft...

Whitepapers

CFO Playbook 2025: Navigeren in een onzekere financiële wereld
Financiële stabiliteit en innovatie gaan...
Generatieve AI en het kantoor van de CFO
De opkomst van Generatieve AI...
Global E-Invoicing Rapport 2024
E-Invoicing en Compliance Facturatie en...

Vragen over adverteren?

Kan ik je van dienst zijn met advies? Bel of mail gerust. Ik neem graag de tijd voor je.

Wendy Batist
Accountmanager

0613874555
wendybatist@sijthoffmedia.nl