Deloitte Nederland en Illumio gaan samenwerken om financiële instellingen te helpen met cybersecurity en DORA-naleving. De samenwerking richt zich op banken, verzekeraars en betaaldienstverleners in Nederland en de EU. DORA geldt sinds 17 januari 2025 en stelt strenge eisen aan digitale weerbaarheid. Doel is het beperken van cyberrisico’s en het aantoonbaar voldoen aan toezicht.
DORA vraagt aantoonbare weerbaarheid
De Europese Digital Operational Resilience Act (DORA) verplicht financiële instellingen om ICT-risico’s strak te beheersen. Dat omvat onder meer incidentmelding, continu testen en beheer van risico’s bij externe IT-leveranciers. De regels gelden sinds 17 januari 2025 en hebben directe impact op prioriteiten en budgetten. Organisaties moeten dus kunnen aantonen dat maatregelen werken, niet alleen dat ze bestaan.
Met de samenwerking koppelen Deloitte Nederland en Illumio beleid en techniek aan elkaar. Deloitte levert advies, risicobeoordeling en implementatiebegeleiding. Illumio brengt Zero Trust Segmentation in, een techniek die netwerkverkeer opdeelt om aanvallen te beperken. Zo ontstaat een aanpak die past bij de letter en de geest van DORA.
DORA is in Europa van toepassing op banken, verzekeraars, beleggingsinstellingen en betaalinstellingen. Ook kritieke ICT-dienstverleners vallen onder extra toezicht. In Nederland sluit dit aan op toezicht door De Nederlandsche Bank (DNB) en bestaande oefenprogramma’s zoals TIBER-NL. De samenwerking speelt in op deze Europese en nationale context.
DORA geldt in de hele EU sinds 17 januari 2025 en verplicht aantoonbaar beheer van ICT-risico’s, rapportage van ernstige incidenten, weerbaarheidstesten en streng toezicht op kritieke derde partijen.
Segmentatie stopt zijwaartse dreiging
Zero trust betekent: nooit automatisch vertrouwen, altijd verifiëren. Zero Trust Segmentation is daar een praktisch onderdeel van. Het deelt systemen op in kleine zones en beperkt wie met wie mag praten. Als er toch een inbraak is, blijft de schade klein en is herstel sneller.
Illumio staat bekend om software die applicatiestromen zichtbaar maakt. Die zichtbaarheid helpt om beleid te schrijven dat begrijpelijk en afdwingbaar is. Het systeem past regels toe op servers, cloud-omgevingen en endpoints. Dat verkleint de kans op onopgemerkte zijwaartse bewegingen door een aanvaller.
Voor DORA is die granulariteit belangrijk. De wet vraagt om beleid per kritisch proces en om continue monitoring. Segmentatie maakt het makkelijker om “kroonjuwelen” af te schermen en bewijs te leveren aan toezichthouders. Denk aan betalingsverkeer, klantdata en handelsplatformen.
Deloitte koppelt beleid aan techniek
Deloitte Nederland vertaalt DORA-eisen naar processen, rollen en controles. Het gaat dan om risk governance, incidentrespons en rapportageketens. Ook leveranciersrisico’s en contractuele waarborgen worden meegenomen. Zo sluit de techniek van Illumio aan op het bredere controleraamwerk.
De adviespartij ondersteunt bij gap-analyses en implementatie-roadmaps. Daarbij hoort het testen van opzet, bestaan en werking van maatregelen. Denk aan tabletop-oefeningen, penetratietesten en scenario’s rond ransomware. Op het moment van schrijven zoeken veel instellingen naar herhaalbare testmethoden die door audits komen.
Samen bieden de partijen een pad van assessment tot beheer. Eerst komt zicht op assets en afhankelijkheden. Daarna volgt inrichting van segmentatie en bijbehorend beleid. Tot slot wordt het geheel geborgd in rapportages en continue verbetering.
Toezicht DNB en EU-kaders
In Nederland kijkt DNB scherp naar operationele weerbaarheid. DORA en nationale richtsnoeren vallen hier samen. De Europese toezichthouders EBA, EIOPA en ESMA houden daarnaast toezicht op kritieke derde partijen. Instellingen moeten dus kunnen rapporteren over zowel interne als uitbestede risico’s.
NIS2 is voor veel sectoren van kracht, maar voor financiële ondernemingen geldt DORA als specifiek Europees kader. Dat voorkomt dubbele eisen, maar verlaagt de lat niet. Leveranciersketens blijven een aandachtspunt, zeker bij cloud en betalingsverkeer. Contracten en exit-strategieën zijn daarom essentieel bewijsstukken.
Voor de Nederlandse praktijk betekent dit strak leveranciersbeheer. Denk aan service levels voor incidentmelding, testtoegang en auditrechten. Ook dataminimalisatie en versleuteling moeten aantoonbaar zijn. Segmentatie ondersteunt dit door datastromen af te bakenen en logs te leveren.
AVG vraagt dataminimalisatie
De AVG vereist passende technische en organisatorische maatregelen. Dataminimalisatie en versleuteling zijn daar voorbeelden van. Microsegmentatie helpt om toegang te beperken tot wat nodig is. Zo blijven persoonsgegevens beter afgeschermd, ook bij een incident.
DORA en AVG versterken elkaar in de praktijk. Waar DORA inzet op continuïteit en rapportage, vult de AVG de privacykant in. Samen vragen zij om inzicht in data, processen en gebruikers. Illumio’s segmentatie ondersteunt die lijn met fijnmazige toegangsregels.
Belangrijk is ook de bewijslast. Toezichthouders en auditors vragen om meetbare effecten. Denk aan minder laterale bewegingsmogelijkheden en kortere hersteltijd. Dashboards en logboeken maken dit zichtbaar voor audit en bestuur.
Aanpak voor instellingen nu
Begin met een actuele kaart van bedrijfskritische processen en hun IT-afhankelijkheden. Bepaal welke systemen “kroonjuwelen” zijn en welke datastromen daarheen lopen. Leg daarna per stroom vast wie toegang nodig heeft en waarom. Dat vormt de basis voor segmentatieregels.
Voer vervolgens een gap-analyse uit op DORA-eisen. Kijk naar incidentrespons, testplannen en leveranciersbeheer. Werk hiaten weg met concrete mijlpalen en verantwoordelijken. Betrek juridische en compliance-teams vroeg, om bewijsvoering op orde te krijgen.
Sluit af met oefenen en meten. Plan red-teaming en hersteltests op de gesegmenteerde omgeving. Meet doorlooptijden, impact en rapportagekwaliteit. Gebruik de uitkomsten om beleid, tooling en audits iteratief te verbeteren.