Weerbaarheid moet financiële instellingen helpen sneller te handelen, niet alleen sneller te herstellen 

Weerbaarheid moet financiële instellingen helpen sneller te handelen, niet alleen sneller te herstellen 
Year: 2026 Artikel Industry: Financiële dienstverlening

Financiële dienstverleners zien weerbaarheid nog vaak vooral als een nalevings- en risicothema. DORA heeft in de Europese Unie de lat al flink hoger gelegd, en ook daarbuiten zet toezicht door: zo verplicht de Zwitserse FINMA-circulaire banken tot vergelijkbare disciplines. DORA verplicht instellingen onder meer om kritieke functies in kaart te brengen, een register bij te houden van ICT‑overeenkomsten met derde partijen, risico gebaseerde penetratietests uit te voeren en aan te tonen dat zij binnen vastgestelde toleranties kunnen herstellen. De FINMA-circulaire verplicht banken om hun kritieke data te identificeren en te beschermen, exitstrategieën voor kritieke externe leveranciers te testen en de bedrijfscontinuïteit te waarborgen, disciplines die ook binnen DORA gelden en die een organisatie nodig heeft om snel én veilig te kunnen handelen. 

Toch blijft één strategische vraag openstaan: als aan de nalevingseisen is voldaan, wat kan weerbaarheid het bedrijf dan nog méér opleveren? 

Voor Khaled Ouafi, partner bij Eraneos en expert in de financiële sector, gaat het antwoord verder dan regelgeving. 

“Een paar jaar geleden zagen organisaties weerbaarheid vaak als een afvinklijst voor regelgeving. Nu is het een zakelijke vraag: hoe bieden we betere service, beschermen we onze keten en handelen we sneller zonder de controle te verliezen? De instellingen die dit goed doen, zien weerbaarheid niet langer als een kostenpost, maar zetten het in als concurrentiemiddel. Als je weerbaarheid tot de kern terugbrengt, gaat het in essentie om technologie: de diensten die niet mogen falen zijn digitaal, en de afhankelijkheden die ze kwetsbaar maken, zijn steeds vaker IT‑afhankelijkheden,” zegt Khaled. 

Begin met wat het bedrijf zich niet kan veroorloven te verliezen


Weerbaarheid levert vooral waarde op als het de diensten beschermt die klanten dagelijks gebruiken. Een onbereikbaar e‑bankingplatform, een uitgevallen handelssysteem, een vertraagde betaling of een verstoord klantenportaal heeft direct impact. De schade raakt reputatie, klantvertrouwen, omzet én de relatie met toezichthouders. 

Daarom moeten financiële instellingen beginnen bij hun eigen bedrijfsmodel, zegt Khaled. Een private bank heeft bijvoorbeeld stabiele digitale toegang nodig voor cliënten in verschillende regio’s. Een betalingsprovider moet grensoverschrijdende transacties beschikbaar houden en tegelijk cyberrisico’s en leveranciersafhankelijkheid beheersen. Een verzekeraar heeft behoefte aan een betrouwbare digitale schadeafhandeling, juist tijdens pieken in de operatie. 

De vraag is altijd: wat is belangrijk voor mijn bedrijf? Beantwoord die eerst, dan wordt weerbaarheid concreet. Je beschermt de paar digitale diensten waar je echt niet zonder kunt, niet alles tegelijk.
Khaled Ouafi, Partner

Die vraag helpt bestuurders om verder te gaan dan algemene weerbaarheidsplannen. De aandacht verschuift naar het beperkte aantal diensten dat het businessmodel definieert, de leveranciers en systemen waarvan ze vaak niet doorhebben hoe afhankelijk ze zijn, en de verstoringen die klantvertrouwen het snelst ondermijnen. In bijna alle gevallen draaien die diensten op technologie en zijn die afhankelijkheden IT‑gedreven. Daardoor leidt elk gesprek over weerbaarheid vroeg of laat naar technologiestrategie. 

Technologische keuzes zijn strategische keuzes


Hier wordt weerbaarheid operationeel. Technologische beslissingen bepalen steeds vaker de strategische ruimte van de organisatie. Cloudarchitectuur, leveranciersconcentratie, datalocatie, cyberbeveiliging en de inzet van AI beïnvloeden welke diensten je kunt introduceren, hoe snel je kunt reageren en welk risicoprofiel daarbij hoort. 

“IT was er altijd om het bedrijf te ondersteunen, en vroeger wilde de business de details niet kennen. Het was iets dat je gewoon aanzette. Dat geldt nu niet meer. Als je technologische keuzes bepalen wat je kunt lanceren en hoeveel risico je loopt, moet de business daar zelf eigenaarschap over nemen,” zegt Khaled. 

De klassieke scheidslijn tussen IT en business is daardoor steeds vager. Sterk geconcentreerde cloud strategieën leveren bijvoorbeeld snelheid en consistentie op, maar roepen óók vragen op over afhankelijkheid, flexibiliteit en operationele wendbaarheid. Geopolitiek voegt nog een laag toe: wie kan er bij de data, welk juridisch kader is van toepassing en hoeveel feitelijke controle heeft de instelling? 

“Ik heb gezien dat banken zijn overgestapt van een single‑cloudstrategie naar een multi‑cloudstrategie: om per use case de best passende oplossing te kiezen, risico’s beter te spreiden en flexibiliteit te vergroten,” zegt Khaled. 

‘Goed genoeg’ is een kwetsbare positie


Weerbaarheid verliest snel aan waarde als organisaties zich alleen richten op het probleem dat nu voorligt. Een lacune in de regelgeving dichten of één zichtbare technische zwakte aanpakken kan de compliancepositie verbeteren, maar bereidt de instelling niet per se voor op het volgende operationele, technologische of geopolitieke risico. 

“Te veel organisaties lossen het probleem van vandaag op en noemen dat weerbaarheid. De wereld beweegt zo snel dat ‘morgen’ steeds vaker ‘het volgende uur’ is – dus je moet ontwerpen voor de verandering die je ziet aankomen, niet alleen voor de kloof die nu in beeld is,” zegt Khaled. 

‘Technical debt’, bestaande afhankelijkheden en bekende maar nog niet aangepakte kwetsbaarheden vragen daarom om meer aandacht. Een systeem dat vandaag stabiel draait, kan morgen nog steeds het servicemodel, de leveranciersstrategie of de cyberrespons beperken. 

Cyberbeveiliging maakt dat goed zichtbaar. Aanvallers automatiseren hun verkenning en zitten nieuwe kwetsbaarheden binnen enkele uren in als aanvalsmiddel, terwijl veel verdedigers nog steeds patchen en reageren op het tempo van menselijke processen. Die kloof dichten betekent: detectie en respons zoveel mogelijk automatiseren, eigenaarschap expliciet beleggen en zorgen dat geen enkele blootstelling hoeft te wachten tot het volgende wijzigingsvenster. 

“Je moet sneller zijn dan je aanvallers. En je aanvallers zijn machines,” legt Khaled uit. 


Hoe goed ben je voorbereid op een verstoring?

De meeste organisaties kennen hun risico’s. Veel minder organisaties weten hoe goed ze daarop zijn voorbereid.

Hoe goed ben je voorbereid op een verstoring?

Hoe financiële leiders weerbaarheid verankeren in hun ecosysteem


Bepaal wat weerbaarheid mogelijk moet maken 

Begin met scherp krijgen welke diensten weerbaarheid moet beschermen, welke markten je wilt bedienen en welke risico’s de groei kunnen afremmen. Maak het concreet, en sluit daarbij aan op de DORA-systematiek: benoem de drie à vier kritieke diensten waarvan uitval de meeste schade zou veroorzaken, bepaal per dienst de hersteltijd- en herstelpuntdoelstellingen (RTO/RPO), in de taal van de toezichthouder, en koppel die doelen aan omzet én klantbelofte, niet alleen aan een controlematrix.

Bouw beheersing in het bedrijfsmodel in

Weerbaarheid werkt het best als architectuur, leverancierskeuzes, cyberrespons, productontwikkeling en mandaat voor besluitvorming dezelfde behoefte aan snelheid, flexibiliteit en zekerheid weerspiegelen. In de praktijk betekent dit: weten waar één leverancier of cloudregio een concentratierisico vormt, vooraf vastleggen wie een failover mag starten of een exitstrategie mag activeren, en die besluiten oefenen voordat een incident je ertoe dwingt. 

Zie AI als onderdeel van weerbaarheidsplanning 

AI verhoogt de snelheid en autonomie in geautomatiseerde processen. Dat roept nieuwe vragen op over toegang, uitlegbaarheid, controleerbaarheid, besluitverantwoordelijkheid en toezicht. Bepaal welke beslissingen een model zelfstandig mag nemen en waar menselijke tussenkomst verplicht is, leg vast waarom een geautomatiseerde actie is uitgevoerd en beschouw de AI‑pijplijn zelf als een potentieel doelwit voor aanvallers. 

Kijk verder dan je eigen perimeter

Weerbaarheid stopt niet bij de grenzen van de eigen organisatie. De meeste instellingen leunen op dezelfde beperkte set cloudplatforms, betalingskanalen en SaaS‑providers. Daardoor kan een storing bij één partij in één keer een groot deel van de sector raken, een concentratierisico dat geen enkele instelling alleen kan beheersen. Breng de gedeelde afhankelijkheden achter je kritieke diensten in kaart, begrijp waar het bredere ecosysteem op dezelfde knelpunten leunt en bereid je voor op verstoringen die buiten je eigen muren ontstaan. 

Zelfs de bekendste aanbieders zijn niet immuun. De wereldwijde storing bij CrowdStrike legde in één klap een groot deel van de digitale infrastructuur plat: bankapps, vliegmaatschappijen en ziekenhuizen kwamen tegelijk stil te liggen.
Khaled Ouafi, Partner

Weerbaarheid maakt het veiliger om snel te handelen


Financiële dienstverleners hebben al grote stappen gezet op het gebied van compliance. De volgende stap is om dat werk nauwer te verbinden met bedrijfswaarde, servicekwaliteit en strategische keuzes. 

De vraag is niet langer alleen of een systeem vandaag functioneert. Het gaat erom of het digitale bedrijfsmodel, de technologie, leveranciers en data waarop de organisatie draait, genoeg flexibiliteit, veiligheid en vertrouwen biedt voor wat er nog komt. Dáár ligt uiteindelijk de weerbaarheid van financiële instellingen: niet in het dossier voor de toezichthouder, maar in de IT‑ en digitale keuzes die bepalen hoe snel en hoe veilig het bedrijf kan handelen. Volgens Khaled Ouafi geeft weerbaarheid financiële instellingen het kader om in beweging te blijven, klanten beter te bedienen en zich aan te passen zonder de controle te verliezen.