Deloitte Nederland en Illumio gaan samenwerken om banken, verzekeraars en fintechs te helpen met cybersecurity en naleving van de EU-wet DORA. De diensten starten in Nederland en richten zich op ICT-risicobeheer, incidentherstel en rapportage. De stap speelt in op de DORA-deadline van 17 januari 2025 en strengere eisen van toezichthouders. Het raakt ook aan thema’s rond Europese AI-verordening gevolgen overheid en de financiële sector.
DORA legt druk op sector
DORA is de Europese verordening voor digitale weerbaarheid van de financiële sector. De wet geldt voor onder meer banken, verzekeraars, betaalinstellingen en pensioenuitvoerders. Organisaties moeten hun ICT-risico’s beheersen, incidenten snel melden en herstel kunnen aantonen. De verplichtingen worden vanaf 17 januari 2025 gehandhaafd.
De kern van DORA is continuïteit van diensten, ook bij cyberaanvallen. Dat vraagt om zicht op alle systemen en datastromen, en om duidelijke noodscenario’s. Netwerk- en werkbelastingsegmentatie helpt aanvallen te isoleren en processen door te laten draaien. Dat past bij het Zero Trust-principe: niets is standaard te vertrouwen.
De druk neemt toe door cloudgebruik en de inzet van algoritmen in kernprocessen. Meer koppelingen betekent meer kansen op zogeheten laterale beweging van aanvallers. Fijnmazige segmentatie beperkt die bewegingsruimte en verkleint de schade. Zo kunnen instellingen aantonen dat zij risico’s proportioneel beheersen, zoals DORA eist.
Deloitte koppelt advies aan tooling
Deloitte Nederland brengt advies, implementatie en beheerdiensten samen. Het advies richt zich op een DORA-gap-analyse, een realistische routekaart en governance. Daarbij horen duidelijke rollen, controles en rapportages voor bestuur en toezichthouders. Dit maakt voortgang meetbaar en auditbaar.
De implementatie omvat het inrichten van beleid, processen en techniek. Denk aan change- en patchmanagement, incidentrespons en herstelprocedures. Deloitte kan de tooling van klanten koppelen aan bestaande monitoring en logging. Zo blijft de operatie herkenbaar en beheersbaar voor eigen teams.
Beheerdiensten helpen instellingen die capaciteit missen. Zij krijgen ondersteuning bij het bijhouden van bewijslast en periodieke tests. Rapportages sluiten aan op formats die toezichthouders in de EU vragen. Dit verkleint het risico op last-minute stress richting de DORA-deadline.
Illumio versnelt microsegmentatie
Illumio levert een Zero Trust Segmentation-platform. Microsegmentatie knipt een netwerk op in kleine zones met eigen regels. Daarmee isoleer je systemen, zodat een inbraak zich niet kan verspreiden. Het vermindert de impact van ransomware en andere aanvallen.
Het platform biedt zicht op applicatiestromen en afhankelijkheden. Teams kunnen beleid eerst simuleren en daarna gefaseerd afdwingen. Dat verlaagt het implementatierisico in complexe omgevingen. Het helpt ook om uitzonderingen netjes te documenteren voor audits.
Voor DORA zijn zichtbaarheid en aantoonbaarheid belangrijk. Illumio levert meetwaarden over verkeer, segmenten en naleving van beleid. Dit ondersteunt verplichte risicobeoordelingen en hersteltests. Zo ontstaat een directe koppeling tussen techniek en rapportageverplichtingen.
Aansluiting op EU-regelgeving
DORA staat niet op zichzelf. De wet haakt aan op de AVG voor dataminimalisatie en versleuteling. Ook NIS2 scherpt beveiligingseisen voor essentiële diensten aan, met vergelijkbare principes. Samen sturen deze regels op duidelijke processen, passende controles en toetsbare bewijslast.
De Europese AI-verordening richt zich op risico’s van AI-systemen, niet op weerbaarheid. Toch raken beide kaders elkaar in de praktijk. AI-modellen draaien op dezelfde ICT-infrastructuur en data. Beheer, logging en toegangscontrole moeten dus kloppen voor beide kaders.
In Nederland houden op het moment van schrijven De Nederlandsche Bank en de AFM toezicht op de financiële sector. Hun verwachtingen over governance en herstel passen bij DORA. Testprogramma’s zoals TIBER-NL sluiten aan op de DORA-eis voor geavanceerd testen (TLPT). Dit maakt consistente uitvoering en rapportage binnen de EU makkelijker.
DORA is van toepassing vanaf 17 januari 2025 op financiële instellingen in de gehele Europese Unie.
Impact voor Nederlandse instellingen
Voor veel organisaties is de tijd kort en de omgeving complex. Er liggen legacy-systemen naast cloudplatforms en SaaS-oplossingen. Heldere inventarisatie van assets en datastromen is daarom stap één. Zonder dit overzicht wordt segmentatie en herstelplanning giswerk.
Een pragmische route is starten bij de kroonjuwelen. Ringfence betaalstromen, core-banking, handelsplatformen en gevoelige data. Beperk privileges en monitor verkeer tussen segmenten strak. Bouw daarna segmentatie en automatisering verder uit naar minder kritieke delen.
Leveranciersrisico is een blijvend aandachtspunt. Contracten met cloud- en IT-partners moeten DORA-controles afdwingen. Denk aan logdeling, responstijden en herstelafspraken. Dit helpt ook bij AVG-verplichtingen rond datadeling en dataminimalisatie.
Wat nog ontbreekt
Niet elke verplichting is tot in detail uitgewerkt. Proportionaliteit vraagt om keuzes die passen bij omvang en risico. Organisaties moeten die keuzes goed onderbouwen en vastleggen. Tools helpen, maar governance en eigenaarschap blijven doorslaggevend.
Veel instellingen zoeken balans tussen snelheid en zekerheid. Te brede segmentatie in één keer kan de operatie verstoren. Gefaseerde invoer met simulatie en duidelijke roll-back is daarom verstandig. Dat verkleint herstelrisico’s en houdt de business mee.
De samenwerking van Deloitte en Illumio adresseert techniek en proces samen. Toch blijft regie bij het bestuur en de first-line teams. Hun kennis van processen, data en risico’s bepaalt het succes. Daarmee komt DORA-naleving binnen bereik, ook na 2025.
