DORA-rondetafel: hoe verzekeraars grip krijgen op de keten

De Digital Operational Resilience Act (DORA) is nu een jaar van kracht. De verordening moet de digitale weerbaarheid van de financiële sector vergroten. Organisaties in deze sector moeten bijvoorbeeld IT-incidenten verplicht melden bij toezichthouders en regelmatig ethische hacktests (laten) uitvoeren.

Maar DORA gaat ook over grip: grip op de keten. Geen enkele organisatie opereert nog als een eiland, maar gebruikt diverse toeleveranciers. Denk aan cloudproviders, SaaS-leveranciers en intermediaire IT-partijen. Als de digitale weerbaarheid daar niet op orde is, lopen financiële organisaties alsnog risico.

DORA is daarbij nadrukkelijk geen commercieel kader, maar een risicokader. Het vertrekpunt ligt bij inzicht in welke leveranciers welke diensten leveren, hoe kritisch die diensten zijn voor de eigen bedrijfsvoering en welke risico’s daaraan verbonden zijn. Dit raakt vooral het domein van third party risk management: het selecteren, inrichten en beheersen van leveranciersrelaties, zodat vooraf een onderbouwde inschatting kan worden gemaakt van risico’s voor kritieke functies. Zonder dit fundament is het lastig om grip te krijgen op de keten en verantwoorde keuzes te maken in sourcing en governance.

De complexiteit van de keten

Marcel Schipper, Sales Director bij MeasureWorks, illustreert het aan de hand van een voorbeeld. "Stel iemand wil een autoverzekering afsluiten. Je komt op de website van de verzekeraar, typt je kenteken in en idealiter zie je dan alle informatie over de auto op het scherm. De actuele waarde, het schadeverleden, voertuiginformatie. En op basis daarvan wordt het bedrag getoond waarvoor je een verzekering kunt afsluiten."

Dergelijke informatie wordt doorgaans bij vele verschillende partijen opgehaald. Gaat er bij één van hen wat mis, dan kan de verzekering niet berekend worden en kan er geen offerte gemaakt worden. "De polis kan dan dus niet afgesloten worden en de potentiële verzekerde gaat naar de concurrent, waar het wel lukt. Dat wil je natuurlijk voorkomen." In zo'n geval wil je heel snel weten bij wie het probleem zit, zodat het snel aangepakt kan worden. Maar dan heb je wel inzicht in de keten nodig.

"Dit raakt dus het hele ecosysteem waarin je opereert. Je hebt inzicht nodig in de gehele keten", zegt Schipper. "En dat roept de vraag op: hoe pak ik dat aan? Hoe moet ik dit inregelen? Hoe krijg je grip op je keten?"

Grip met observability

Het antwoord zit hem in observability, stelt hij. "Dat is te zien als de evolutie van monitoring. Met klassieke monitoring monitor je een applicatie of infrastructuur en weet je wanneer er iets stuk is, of dat de prestaties onderuit zijn gegaan. Met observability begrijp je waarom dat zo is. Je ziet waar dat in de keten gebeurt en wat het risico is."

Observability is in principe dus monitoring met veel meer context. "Voor DORA is dat cruciaal, omdat het realtime inzicht geeft in je ketenafhankelijkheden. Het helpt je bij incidentdetectie en -triage, bij risico- en impactanalyse en bij verantwoording afleggen richting toezichthouders. Je kunt de vereiste weerbaarheid alleen maar aantonen door meetbaar inzicht te hebben in hoe je keten zich gedraagt."

Rondetafel met praktijkcases

Schipper merkt echter dat veel financiële organisaties, waaronder verzekeraars, nog worstelen met DORA, ook al moeten zij daar al sinds januari 2025 aan voldoen. "Veel verzekeraars worstelen met dezelfde vragen, maar praten er onderling nog weinig over. En DORA vraagt juist om samenwerking. Om een gedeelde interpretatie en praktijkervaring."

Daarom wordt op 19 maart een rondetafel georganiseerd, waar verzekeraars samenkomen om ervaringen te delen. "We tonen aan de hand van praktijkcases hoe je inzicht krijgt in zo'n complexe keten. Hoe je ketenregie inricht en de governance effectief organiseert. Want wie zijn keten niet kan observeren, kan hem ook niet regisseren."