Eerste DORA-analyse: financiële sector toont digitale weerbaarheid

In totaal werden in 2025 3.383 grote ICT-gerelateerde incidenten gerapporteerd. Volgens de Europese toezichthouders moet dat aantal niet worden gezien als een teken van structurele kwetsbaarheid. Door de vergaande digitalisering, de groeiende complexiteit van systemen en de onderlinge afhankelijkheden zijn operationele verstoringen in zekere mate onvermijdelijk.

Maar de manier waarop financiële instellingen incidenten herkennen, beheersen en beperken, zegt wel iets over hun weerbaarheid, aldus de toezichthouders. Twee derde van de gemelde incidenten leidde tot geen of slechts beperkte impact op klanten en transacties. Volgens de toezichthouders wijst dat erop dat detectie- en beheersmaatregelen in veel gevallen effectief bleken.

Grensoverschrijdende risico's nemen toe

Tegelijkertijd laat de analyse laat ook zien dat ongeveer een derde van de gemelde incidenten grensoverschrijdende impact had. Dat heeft te maken met het toenemende gebruik van gedeelde infrastructuren, gemeenschappelijke ICT-diensten en grensoverschrijdende bedrijfsmodellen.

Opvallend is ook dat bijna een derde van de grote incidenten terug te voeren is op problemen bij derde partijen, zoals ICT-dienstverleners, infrastructuurleveranciers of andere financiële instellingen. Daarmee benadrukken de toezichthouders het belang van goed risicobeheer rond uitbesteding en afhankelijkheden in de keten.

Weinig cyberincidenten

Het aantal cyberincidenten bleef relatief beperkt doordat bestaande beveiligingsmaatregelen en detectiemechanismen over het algemeen effectief zijn. Tegelijkertijd waarschuwen de toezichthouders dat financiële instellingen moeten blijven investeren in cyberweerbaarheid, zeker nu criminele organisaties steeds vaker gebruikmaken van geavanceerde AI-toepassingen. Verdere afstemming tussen toezichthouders moet de kwaliteit en vergelijkbaarheid van de meldingen verder verbeteren.