Lewe na die sperdatum: Omskep DORA-nakoming in operasionele stabiliteit

Deur René Millman • 13 Januarie 2026

Die paniek van Januarie 2025 is werklik verby. Maar vir die suksesvolste leiers van die finansiële sektor het die werklike werk, en die werklike beloning, eers begin. Ons ondersoek hoe die Wet op Digitale Operasionele Veerkragtigheid die gesprek verskuif het van "vermyding van boetes" na "beskerming van inkomste".

Terwyl baie die Wet op Digitale Operasionele Veerkragtigheid (DORA) as 'n nakomingslas beskou het, het die afgelope twaalf maande die ware funksie daarvan onthul: dit is 'n bloudruk vir bedryfstyd. Ons sien nou tasbare bewyse dat die spesifieke meganismes wat DORA afdwing, naamlik streng digitale toetsing en diepgaande voorsieningskettingkartering, meer doen as om reguleerders tevrede te stel. Hulle voorkom onderbrekings wat inkomste vernietig.

Om te verstaan hoekom, moet ons kyk na die kulturele verskuiwing wat in die direksiekamer plaasgevind het.

Die onderbrekings wat nie gebeur het nie

Dit is moeilik om te glo dat 'n volle jaar verloop het sedert die sperdatum van 17 Januarie. Dink terug aan laat 2024: die paniekerige gapingontledings, die laat nagte waartydens IKT-derdepartykontrakte ondersoek is, en die gesukkel om kritieke funksies in kaart te bring.

Vir baie was dit die eindstreep. Maar vir die “wenners” van 2025 was dit die begin van ’n nuwe era van aktiewe verdediging.

“Baie organisasies beskou DORA bloot as 'n regulatoriese struikelblok,” sê Chris Newton-Smith, uitvoerende hoof van ISMS.online. “Maar die belangrikste skuif wat besighede moet maak, is om die regte vrae oor hul nakoming te vra. Te veel fokus op 'Is ons nakomend?' terwyl die meer waardevolle vraag is: 'Help ons nakoming ons werklik om aan te hou werk wanneer iets verkeerd loop?'”

Soos Newton-Smith opmerk, wanneer jy die denkwyse verander, “hou voldoening baie vinnig op om 'n blokkie-oefening te wees en begin die organisasie aktief beskerm.”

Miskien was die beduidendste impak van DORA die "onsigbare oorwinnings", die onderbrekings wat nooit plaasgevind het nie.

Om die omvang van hierdie verskuiwing te verstaan, moet ons kyk na die bedryf se denkwyse net toe die reëls in werking getree het. Etienne Bouet, 'n Senior Bestuurder by die konsultantfirma Wavestone, gewaarsku in Januarie 2025 dat die bedryf die risiko loop om die punt te mis as hulle slegs op die papierwerk fokus.

“DORA moet nie bloot as 'n voldoeningsoefening gesien word nie,” het Bouet destyds opgemerk. “Ja, daar is regulatoriese vereistes om na te kom, maar die werklike uitdaging lê in die bou van veerkragtigheid ... voldoening alleen is onvoldoende as dit nie met werklike verbeterings in veerkragtigheid gepaardgaan nie.”

Diegene wat op daardie advies ag geslaan het, pluk nou die vrugte. In die afgelope twaalf maande het ons gesien hoe organisasies van 'n "papierskild", beleide wat sê hulle is veilig, na 'n "Ysterkoepel" van aktiewe verdediging beweeg het. Dit was nie opsioneel nie. Die DORA-vereiste om te demonstreer hoe jy van 'n ernstige IKT-ontwrigting sou herstel, het spanne gedwing om hul teorieë te toets.

Die resultaat is 'n landskap van stelsels wat werklik herstel. Toe klein wolkkonfigurasiefoute vroeër vanjaar betalingsverwerkers getref het, het die DORA-voldoenende banke nie in duister gegaan nie. Hul oortolligheidsprotokolle, getoets en verfyn onder DORA se pilaar van digitale operasionele veerkragtigheidstoetsing, het outomaties in werking getree.

'n Nuwe Era van Volwassenheid

Hierdie verskuiwing dui op 'n volwassenheid van die bedryf. Jare lank is veral die FinTech-sektor gekenmerk deur vinnige groei, dikwels ten koste van stabiliteit. DORA het effektief 'n "volwasse" gesprek oor risiko afgedwing.

Teen middel 2025 was die spanning van hierdie oorgang sigbaar. Sensuswyd opname wat in Julie 2025 vrygestel is, het aan die lig gebring dat 96% van EMEA-finansiële organisasies ses maande na die inwerkingtreding van die regime steeds gevoel het dat hul data-veerkragtigheid “nie was waar dit moet wees nie”.

Daardie statistiek beklemtoon 'n verdeeldheid in die mark. Aan die een kant, die 96% wat gesukkel het om veerkragtigheid in ouer stelsels in te pas. Aan die ander kant, die rats "wenners" wat DORA as 'n bloudruk gebruik het om hul argitektuur te moderniseer.

Vir die wenners is die "einde van vinnig beweeg en dinge breek" waaroor die Raad nou omgee. Wanneer sekuriteitsleiers einde-van-jaar verslae aanbied, lys hulle nie meer net voldoeningsstatus nie. Hulle lys die geraamde inkomste wat bespaar is omdat stelsels aan die gang gebly het toe mededingers dit nie gedoen het nie.

Voorsieningsketting: Die "legkaart" van interkonneksie

As 2024 die jaar van “vertroue” in verskaffers was, was 2025 en 2026 die jare van monitering. Die afhanklikheid van derde partye was nog altyd 'n bekende risiko, maar DORA het organisasies gedwing om dit te kwantifiseer.

Olaf Jonkers, hoof interne sekuriteitsbeampte by die digitale identiteitsplatform itsme, het hierdie verskuiwing in aanspreeklikheid in Februarie 2025 uitgelig.

“DORA verseker dat IKT-verskaffers wat dienste aan FSI's lewer, voldoende aanspreeklik gehou word vir die handhawing van sterk interne bestuur,” het Jonkers Verduidelik“Dit is baie belangrik, want FSI's se groeiende afhanklikheid van IKT-verskaffers beteken dat 'n stelselineenstorting of -breuk skielik bedrywighede tot 'n klein fraksie kan verminder.”

DORA se fokus op IKT Derdeparty Risikobestuur (TPRM) het organisasies gedwing om hierdie afhanklikhede te karteer. Sekuriteitspanne het waarskynlik ontdek dat 'n "kritieke" funksie staatgemaak het op 'n verskaffer wat staatgemaak het op 'n ander verskaffer wat geen rugsteunplan gehad het nie.

Die aanvanklike kartering was pynlik. Maar die operasionele voordeel was enorm. Ons word nie meer oorval deur vierdeparty-mislukkings nie. In die verlede was 'n verskaffersonderbreking 'n geldige verskoning: "Dis nie ons skuld nie, dis die wolkverskaffer." Daardie verskoning vind nie meer plaas by kliënte nie, en beslis nie by reguleerders nie. As gevolg van DORA is uittreestrategieë en multi-verskaffer-opstellings vir kritieke funksies nou standaardpraktyk.

Nakoming as 'n waardedrywer

Die gevaar in hierdie "na-sperdatum"-wêreld is selfvoldaanheid. Die risikolandskap verander daagliks; as veerkragtigheidsdokumentasie staties is, is 'n organisasie reeds nie-nakomend.

Ons het gesien hoe baie spanne die afgelope jaar sukkel omdat hulle DORA as 'n "eenmalige" projek behandel het. Hulle het hul Register van Inligting in Excel gebou, dit geliasseer en sedertdien nie daarna gekyk nie. Daardie data is nou verouderd.

“Die prioriteit is om nakoming ‘lewendig’ en operasioneel te hou,” adviseer Newton-Smith. “Ons sien dat raamwerke soos DORA die meeste waarde vir besighede lewer wanneer hul leierskap 'n intydse beeld van nakoming het… Dit beteken dat besighede verder as statiese dokumente en handmatige dophou moet beweeg na gereedskap wat deurlopende toesig bied.”

Die bestuur van dinamiese operasionele veerkragtigheid met statiese gereedskap is nie meer haalbaar nie. Sekuriteitsleiers benodig 'n "lewendige" beeld van risiko. Indien 'n sleutelverskaffer se sekuriteitsertifikaat verval, moet die risikoregister onmiddellik opdateer.

Veerkragtigheid is inkomste

Die era van “vrees, onsekerheid en twyfel” (FUD) van die verkoop van kubersekuriteit is verby. DORA het die bedryf in die era van veerkragtigheid as 'n waardedrywer gestoot.

Die organisasies wat in 2026 wen, sal nie diegene wees wat verlede Januarie net 'n "slaag" geskraap het nie. Hulle is diegene wat die raamwerk gebruik het om hul bedrywighede te verhard. Hulle ervaar minder stilstandtyd, bestuur verskaffersrisiko's proaktief en slaap beter snags met die wete dat hul herstelplanne werklik werk.

Om die ware waarde van hierdie verskuiwing te verstaan, moet leiers terugkyk na hul voorvallogboeke vir die afgelope ses maande. Deur "byna-misse" te identifiseer wat deur beheermaatreëls wat vir DORA geïmplementeer is, gevang is, en die potensiële koste te bereken as daardie voorvalle tot volle onderbrekings sou eskaleer, word die finansiële realiteit duidelik. Daardie syfer, die koste van die ramp wat nie plaasgevind het nie, is die ware waarde van nakoming. Die sperdatum is verby, maar die era van stabiliteit is hier vir diegene met die gereedskap om dit te geniet.

Rene Millman

Rene Millman is 'n veelsydige vryskutskrywer en uitsaaier wat spesialiseer in kuberveiligheid, KI, IoT en wolktegnologieë. Benewens sy rol as 'n bydraende ontleder by GigaOm, bring hy uitgebreide ervaring as 'n voormalige Gartner-ontleder wat op die infrastruktuurmark fokus. Rene Millman, bekend vir sy kundigheid, het gereeld televisie-optredes gemaak en insigte en ontledings gedeel oor tegnologieneigings en invloedryke maatskappye wat ons daaglikse lewens vorm. Bly op hoogte van Rene Millman se insigte deur hom op Twitter te volg.

Lees meer van René Millman

cyber Security 13 Augustus 2024

die crowdstrike-onderbreking 'n saak vir die versterking van insidentreaksie met iso 27001-banier

Die CrowdStrike-onderbreking: 'n saak om insidentreaksie met ISO 27001 te versterk

In Julie 2024 het 'n mislukte sagteware-opdatering deur CrowdStrike gelei tot 'n beduidende wêreldwye IT-onderbreking, wat talle organisasies, insluitend lugdienste, geraak het...

Rene Millman

cyber Security 16 Julie 2024

vermy die volgende middelveilige kuberveiligheidslesse vir besighede se banier

Vermy die volgende MediSecure: Kuberveiligheidslesse vir besighede

Die MediSecure-kubersekuriteitskatastrofe dien as 'n skerp wekroep vir besighede: verwaarloos digitale verdediging op eie risiko of loop die risiko om die...

Rene Millman

cyber Security 11 Junie 2024

wat gedoen kan word aan die nasionale kwesbaarheidsdatabasis krisisvaandel

Wat kan gedoen word aan die nasionale kwesbaarheidsdatabasiskrisis?

Die Nasionale Instituut vir Standaarde en Tegnologie (NIST) is in 'n penarie, en een wat ernstige implikasies vir kuberveiligheidspanne wêreldwyd inhou. Die...

Rene Millman