Onderzoek: Cybersecuritywetgeving drukt zwaar op de portemonnee van Nederlandse financiële dienstverleners

 

  • Vier op de tien (40%) bedrijven in Nederland zegt in de afgelopen twee jaar meer dan 1 miljoen euro te hebben uitgegeven aan cybersecurity.
  • Cyberaanvallen via derde partijen (32%) zijn de grootste dreiging voor de Nederlandse financiële en bankensector, gevolgd door ransomware-aanvallen (30%).
  • De nieuwe regels en de bijkomende kosten eisen hun tol op het welzijn van werknemers; meer dan de helft (54%) van de Nederlandse CISOs ervaart verhoogde druk door strengere regelgeving.

 

Dat zijn enkele conclusies die getrokken worden blijkt uit nieuw onderzoeksrapport van Rubrik. Hoewel de Europese Digital Operational Resilience Act (DORA) organisaties meer veerkracht biedt , brengt naleving ook aanzienlijke kosten met zich mee voor bedrijven en hun werknemers.

Het Rubrik Zero Labs rapport, uitgevoerd door Wakefield Research, toont aan dat 40% van de financiële organisaties in Nederland de afgelopen twee jaar naar verluidt meer dan een miljoen euro heeft uitgegeven aan de implementatie van regelgeving zoals DORA. Bijna een derde (30%) geeft hierbij aan tussen €501.000-€1.000.000 te hebben uitgegeven.

Ondanks de implementatie-inspanningen liggen bedreigingen nog steeds op de loer, waarbij cyberaanvallen door derden de grootste bedreiging (32%) vormt voor de financiële sector, gevolgd door ransomware (30%). Meer dan een kwart (28%) van de CISO’s in de financiële sector ziet softwareleveranciers als een belangrijke zwakke plek voor cybersecurity. Een op de tien CISO’s (10%) noemt bedreigingen van binnenuit, zoals menselijke fouten, als grootste risico voor cybersecurity.

Complexiteit data in de cloud
Even verontrustend is dat meer dan de helft van de CISO’s in de financiële sector (54%) aangeeft dat DORA de druk op hun rol vergroot. Er is behoefte aan een meer empathische aanpak om deze uitdagingen aan te pakken. Opvallend is dat álle ondervraagde CISO’s in de financiële sector (100%) in Nederland de complexiteit van data in de cloud als een probleem beschouwen. Een grote meerderheid (88%) specificeert dit zelfs als een matig tot groot probleem. Op 17 januari 2025 introduceerde DORA een universeel kader met een focus op ICT risicomanagement. Dit kader kan een grote impact hebben op de financiële dienstverlening, gezien financiële instellingen beschikken over de meest gevoelige data van alle sectoren.

Er is ook een grote kloof met de rest van de C-suite als het gaat om het vooropstellen van cyberweerbaarheid. Meer dan driekwart (78%) van de CISO’s in Nederland heeft het gevoel heeft dat hun IT-budget niet volledig wordt weerspiegeld door de doelstellingen van het management om te voldoen aan de wettelijke vereisten, zoals DORA. DORA stelt belangrijke eisen, zoals contractuele waarborgen en noodplannen, om de afhankelijkheid van derden te minimaliseren en risico’s van partners te beperken.

Om de operationele veerkracht te waarborgen, schrijft DORA regelmatig testen van digitale weerbaarheid en aanvalssimulaties voor. De uitkomsten hiervan worden verwerkt in cybersecurityplannen en bieden CISO’s extra zekerheid. Toch is er wel sprake van vertrouwen in de cloud: de meerderheid (64%) van de CISO’s in Nederland is van mening dat de persoonlijke gegevens van hun klanten, partners en werknemers veilig zijn in cloudomgevingen.

Nauwe samenwerking
CISO’s, directies en andere stakeholders moeten nauw samenwerken om te zorgen dat de prioriteiten voor cyberweerbaarheid duidelijk worden vastgesteld, voldoende worden gefinancierd en effectief worden geïmplementeerd. Dit is essentieel om te voldoen aan de veranderende regelgeving en de toekomst van de sector te waarborgen.

“Gezien de toenemende dreiging van ransomware en cyberaanvallen, is de implementatie van regelgeving vereist en kostbaar. Begrijpen welke data het meest kritisch is, waar deze data zich bevindt en wie er toegang toe heeft, is essentieel om cyberrisico’s te identificeren, te beoordelen en te beperken. Als deze maatregelen niet worden gevolgd, lopen organisaties het risico boetes krijgen van de Financial Conduct Authority (FCA)”, zegt James Hughes, VP of Solutions Engineering en Enterprise CTO bij Rubrik.

“Er is een duidelijke kloof tussen het begrip op bestuursniveau en de werkelijkheid. Terwijl de toezichthouders steeds strenger worden, hebben veel CISO’s het gevoel dat hun budget niet de mate van betrokkenheid van het management bij compliance weerspiegelt. Deze kloof brengt niet alleen de security van organisaties in gevaar, maar ook hun vermogen om te voldoen aan de veranderende regelgeving”, voegt Hughes toe.

 

Het onderzoeksrapport is in opdracht van Rubrik uitgevoerd door Wakefield Research onder 350 CISO’s die werkzaam zijn bij bedrijven met minimaal 500 werknemers in de financiële dienstverlening, exclusief holdings. De respondenten zijn afkomstig uit vijf markten: Verenigd Koninkrijk, Duitsland, Frankrijk, Italië en Nederland.