Een jaar na DORA. Wat hebben we écht geleerd?
Een jaar na de officiële inwerkingtreding van de Digital Operational Resilience Act (DORA) is de vraag voor verzekeraars niet meer óf ze compliant zijn, maar wat compliance in de praktijk betekent.
Op 19 maart 2026 kwamen CIO’s en IT-leiders uit de sector samen tijdens een rondetafel van MeasureWorks en DEI. Het gesprek was opvallend open en eerlijk: veel energie gaat naar het afvinken van eisen, maar worden organisaties er ook echt weerbaarder van?
In deze blog lees je hoe verzekeraars DORA in de praktijk ervaren en wat er nodig is om daadwerkelijk naar digitale weerbaarheid te komen.
“Door je keten inzichtelijk te maken en continu te monitoren, ben je niet alleen compliant; je voorkomt vooral dat je verrast wordt.” – Marcel Schipper, Sales Director bij MeasureWorks
Wat is DORA?
De Digital Operational Resilience Act is een Europese verordening die de digitale weerbaarheid van de financiële sector moet vergroten. Denk aan verplichte melding van IT-incidenten, het regelmatig uitvoeren van ethische hacktests en strikte eisen aan IT-contracten met leveranciers.
Belangrijk is dat de scope niet stopt bij de financiële organisatie zelf. Verzekeraars moeten ook grip hebben op hun kritieke ketenpartners; een storing bij een IT-leverancier kan immers net zo ontwrichtend zijn als een interne storing. DORA is sinds januari 2025 officieel van kracht.
De impact van DORA
DORA vraagt meer dan een lijst van kritieke leveranciers. Waar organisaties vroeger uitbestedende partijen als ‘kritiek’ of ‘belangrijk’ bestempelden, verplicht de verordening nu ook het aanmerken van kritieke functies.
ONVZ pakte dat concreet op via hun hoofdprocessenmodel. “Wij hebben gezegd: dit zijn al onze functies en een deel daarvan hebben we als kritiek gelabeld”, legt leveranciersmanager Jan-Dirk Rundervoort uit. Daarnaast bracht DORA nieuwe eisen mee voor de selectie, contractering en dienstuitvoering van IT-dienstverleners. ONVZ verwerkte dat in een addendum bij bestaande contracten, bijgewerkte risicoanalyses en een vernieuwd control-framework. Er gaat nu ook een kwartaalrapportage naar de Raad van Bestuur; iets wat voorheen niet vanzelfsprekend was. “De Raad van Bestuur hield zich nooit met aanbestedingen bezig. Die moesten we er dus echt met de haren bijslepen”, aldus Rundervoort. “Maar dat is nu wel gelukt.”
De resultaten mogen er zijn. Met een klein team, nauwe afstemming met de risicoafdeling en een externe partij die met frisse ogen meekeek, zijn 92 van de 94 controls inmiddels behaald. Een openstaande control betreft de exitplannen: ONVZ kiest hier voor een overkoepelende exitstrategie met managementacceptatie, in plaats van individuele plannen per leverancier.
Voldoen aan de regels is niet hetzelfde als weerbaar worden
De grootste uitdaging zit niet alleen in de implementatie, maar in de mindset die daarna ontstaat. Sandor Beckmann van BNG Bank verwoordde het scherp: “DORA is in eerste instantie een license to operate. De angst voor toezicht en bestuurlijke aansprakelijkheid voert de boventoon.” Dit zorgt voor een bijeffect: een focus op vinkjes in plaats van op de achterliggende bedoeling van de regelgeving.
John de Voogd van Klaverblad herkent dit: “We hebben zoveel focus op bewijsvoering dat alle energie daarheen gaat. Er gaat veel minder energie naar de daadwerkelijke controle, die daardoor misschien wel slechter wordt. Niemand denkt meer na over waarom we dit eigenlijk doen?”
Intern wordt dit patroon verder versterkt. Michiel van Dijk van VGZ merkt dat iedereen binnen de organisatie, van eerste- tot derdelijns afdelingen, wil meesturen op nieuw ingevoerde processen en beleid. “Die zijn daar soms nog strakker op dan externe toezichthouders. Het wordt er niet soepeler en wendbaarder door. Iedereen wil er wat van vinden en er dingen aan toevoegen.”
Het risico is wat de deelnemers omschreven als schijnzekerheid. Rundervoort illustreerde dit met de ransomware-aanval op de Universiteit Maastricht, waarbij alle data gegijzeld werd en de organisatie nergens meer bij kon. “Na de hack zei de CIO op tv dat alles groen gerapporteerd was. Dat is leuk, maar in de praktijk heb je daar niets aan. Dat merk ik ook bij audits: ze kijken alleen maar of er iets is en niet waarom het er is.”
De keten reikt verder dan je eigen IT-landschap
Digitale weerbaarheid stopt niet bij de grenzen van de eigen organisatie. Verzekeraars moeten grip hebben op hun kritieke ketenpartners, maar die verantwoordelijkheid drukt zwaar op de rest van de keten, zeker op kleinere partijen.
Neem StichtingVbV, een gezamenlijk initiatief van Nederlandse schadeverzekeraars dat verzekeraars, verzekerden, leasemaatschappijen en verhuurbedrijven ondersteunt bij het terugvinden van vermiste en gestolen voertuigen. De stichting valt zelf niet onder DORA, maar is wel ketenpartner van verzekeraars die dat wél zijn. Projectleider Roelof Muis verwoordt de zorg: “De vrees die wij hebben is: hoe gaan verzekeraars straks hun eisen doorzetten en opleggen aan leveranciers en derde partijen? Als al die partijen straks hun eigen eisen aan ons op gaan leggen, wordt dit voor ons heel groot.”
En dat is niet zomaar een probleem. StichtingVbV is een kleine organisatie zonder een toegewijde afdeling voor dit soort vraagstukken. De uitdagingen zijn al merkbaar bij de invoering van ISO 27001, waarvoor de organisatie momenteel gecertificeerd wordt. “We zitten nu nog in het uitrollen van het juiste gedrag. Denk aan: je moet je computer echt even vergrendelen als je naar de wc gaat. Voor grote partijen is dat al geen probleem meer, maar voor ons wel.”
Daar komt bij dat de organisatie werkt met een veelvoud aan Excel-lijsten, waarbij één wijziging op wel acht plekken moet worden doorgevoerd. Muis roept op tot standaardisatie: “Er zijn gillend veel Excel-lijsten waar wij vanaf willen. Eén wijziging moet ik op wel acht plekken doorvoeren, en daar allemaal versiebeheer voor bijhouden. Wij hebben liever één softwareprogramma waar alles in staat.”
Samenwerken wil iedereen, maar vertrouwen soms is lastig
De uitdagingen rondom DORA zijn breed gedeeld. Vrijwel alle verzekeraars worstelen met dezelfde vragen: hoe label je kritieke functies, hoe richt je leveranciersmanagement in, hoe zorg je voor de juiste contractuele waarborgen? Dat roept de vraag op of je dit niet gezamenlijk kunt oppakken. Het Verbond van Verzekeraars heeft een standaard addendum voor DORA-compliance, en ervaringen worden gedeeld via het CIO Platform en CIO-overleggen. Maar het addendum moet door iedere verzekeraar nog organisatie-specifiek worden gemaakt, wat de tijdswinst beperkt. Bovendien vragen alle verzekeraars afzonderlijk informatie op bij hun leveranciers, ook als ze dezelfde leveranciers hebben.
Toch strandden eerdere pogingen tot centralisatie. Rundervoort nam in 2024 het initiatief voor zo’n register. met het idee: laten we één manier bedenken en het werk verdelen. Het enthousiasme was er. Er volgde een tweede sessie, met concrete besluiten: het addendum van het Verbond van Verzekeraars aanpassen zodat iedereen dezelfde versie kan gebruiken, en een gezamenlijk leveranciersregister opzetten met een generieke vragenlijst. Leveranciers hoeven die vragenlijst dan maar één keer in te vullen, en alle verzekeraars werken met dezelfde informatie.
“Dat addendum heb ik aangepast, de vragenlijst is opgesteld en dat heb ik naar iedereen gestuurd,” zegt Rundervoort. “Wat volgde? Doodse stilte.” Het initiatief bloedde dood en iedereen ‘ging alsnog zelf het wiel uitvinden.’ Dit kwam niet door onwil, maar door een structureel gebrek aan vertrouwen, gevoed door diezelfde bestuurlijke aansprakelijkheid. Zoals Rundervoort het samenvat: “De crux is vertrouwen. Als een andere verzekeraar iets voor ons gezamenlijk maakt en ik daar ook op aangesproken kan worden, dan wil ik het toch controleren.”
Wat wél werkt: klein beginnen met een concreet doel
De conclusie aan tafel was dat het beter werkt als je klein begint: twee partijen die samen één concreet project oppakken boeken sneller resultaat dan een brede coalitie die consensus probeert te bereiken op hoofdlijnen. Met een grote groep bereik je doorgaans alleen overeenstemming op hoofdlijnen, waarna de concrete invulling bij al die partijen intern afgestemd moet worden, en dat vertraagt of blokkeert het proces. Volgens Rundervoort zijn er twee ingrediënten nodig: een concrete case als vertrekpunt, en één partij die het voortouw neemt. “Bij grote groepen willen dertig mensen hun eigen stokpaardjes erin hebben. Dan wordt het ook een stuk groter dan het hoeft te zijn.” De aanpak van ONVZ laat zien dat een kleinschalige, gefocuste werkwijze werkt. Een klein succes is bovendien intern makkelijker te rapporteren en smaakt mogelijk naar meer.
Die les raakt bovendien een bredere waarheid: digitale weerbaarheid is een doorlopend proces. Het vraagt om operationele grip; weten wat er in de keten gebeurt, wie waarvoor verantwoordelijk is en wat de impact is als er iets uitvalt. Marcel Schipper, Sales Director bij MeasureWorks, herkent dit patroon. “DORA vraagt om operationele grip: weten wat er gebeurt en weten wat je moet doen als er iets misgaat. Dat stopt niet bij je eigen IT-landschap, maar bij de afhankelijkheden daarbuiten.”
MeasureWorks pakt dit aan via observability: ketenmonitoring over alle schakels in je IT-landschap, zowel technisch, organisatorisch en operationeel. Wie reageert er bij een melding? Wat is de impact van uitval? Weet iedereen wat zijn rol is bij een incident? “Alleen met dit inzicht kun je snel reageren en verstoringen beperken.” En datzelfde inzicht wordt de komende jaren alleen maar belangrijker: onder de AI Act, die transparantie en beheersbaarheid van systemen centraal stelt, zijn vergelijkbare vragen aan de orde.
Vooruitkijken post-DORA: operationele grip als eindstation
De rondetafel maakte duidelijk dat compliance slechts het startpunt is. De echte winst zit in het omzetten van regels naar handelingsvermogen. Organisaties die nu investeren in het werkelijk begrijpen van hun digitale keten, niet alleen het documenteren ervan, bouwen een fundament waar ze ook onder toekomstige regelgeving op kunnen voortbouwen. Of, zoals Schipper het verwoordt: “Door je keten inzichtelijk te maken en continu te monitoren, ben je niet alleen compliant; je voorkomt vooral dat je verrast wordt.”
Over DORA in gesprek?
Wil je dat DORA echt bijdraagt aan de continuïteit van je organisatie? Of heb jij vragen over hoe je naar volledige digitale weerbaarheid gaat? Neem dan vrijblijvend contact op met ons team.
