Elke bank draait inmiddels op software, dus "software is belangrijk in de financiële sector" is geen stelling die het verdedigen waard is. Het debat dat er wél toe doet, is scherper: bij een gereguleerde financiële instelling op grote schaal wordt uw concurrentie- en compliancepositie minder bepaald door de code die u schrijft en meer door hoe betrouwbaar, veilig en compliant u die uitlevert en in productie houdt. De beperkende factor is verschoven van het schrijven naar de delivery. Dit stuk is bedoeld voor engineering directors en senior engineers die dat al weten en het bewijs en de operationele consequenties willen, in plaats van nóg een opsomming van waarom apps goed zijn.
Uitgaven bevestigen dat software strategisch is, niet back-office
Het geld beslecht het debat over de vraag "is dit strategisch". Gartner verwacht dat de wereldwijde IT-uitgaven van ondernemingen in de markt voor banken en investment services in 2025 met ongeveer 7,8% groeien tot circa 760 miljard dollar, op weg om in 2029 de 1,1 biljoen dollar te overschrijden bij een vijfjaars-CAGR van bijna 8,7% op constant-currencybasis, gedreven door digitale transformatie, AI-adoptie en cybersecurity (Gartner, 2025). Dat groeipercentage doet er meer toe dan het absolute getal: technologie groeit sneller dan de omzet van de meeste banken, wat betekent dat engineeringbeslissingen steeds meer de bedrijfsstrategie zíjn in plaats van een ondersteuner ervan. De keerzijde is dat deze uitgaven alleen tot resultaten leiden als de delivery gedisciplineerd is. Kapitaal koopt capaciteit; het koopt geen betrouwbaarheid.
Operationele weerbaarheid is nu een wettelijke verplichting, geen volwassenheidsdoel
Voor elk team dat in de EU opereert, is het thema "Risk and Compliance Management" verhard tot bindende wetgeving. De Digital Operational Resilience Act (Regulation (EU) 2022/2554) werd op 17 januari 2025 afdwingbaar in de hele financiële sector (ESMA). DORA legt één geharmoniseerd kader op aan meer dan 20 categorieën financiële entiteiten, opgebouwd rond ICT-risicobeheer, verplichte incidentrapportage, weerbaarheidstesten, streng toezicht op derde partijen en cloudproviders, en informatiedeling.
Lees dat als engineeringeisen, want dat is precies wat het zijn. Verplichte incidentrapportage met strakke tijdslimieten betekent dat uw observability, alerting en runbooks ICT-incidenten snel genoeg moeten signaleren en classificeren om ze te kunnen rapporteren, niet alleen snel genoeg om ze op te lossen. Weerbaarheidstesten betekent threat-led penetration testing en herstelbaarheid die u kunt aantonen, niet veronderstellen. Toezicht op derde partijen betekent dat uw cloud- en SaaS-afhankelijkheden, exitplannen en concentratierisico controleerbare artefacten worden. De teams die weerbaarheid behandelden als een eigenschap die je engineert en meet, in plaats van een document dat je schrijft, gingen 2025 al compliant binnen. De rest is aan het retrofitten onder het toeziend oog van een toezichthouder.
AI verhoogt het plafond en de vloer tegelijk
Het opwaartse potentieel is reëel en gekwantificeerd. McKinsey schat dat generatieve AI jaarlijks 200 miljard tot 340 miljard dollar kan toevoegen aan de wereldwijde banksector, gelijk aan 2,8% tot 4,7% van de sectoromzet, binnen een economiebrede kans van 2,6 biljoen tot 4,4 biljoen dollar (McKinsey Global Institute, 2023). Dat is de buit achter AI-adviseurs, fraudemodellen, documentautomatisering en datagedreven besluitvorming.
De adder zit in hoe die capaciteit in productie landt. Het 2024 DORA Accelerate State of DevOps report bleek AI een tweesnijdend zwaard: een toename van 25% in AI-adoptie werd geassocieerd met een geschatte daling van 1,5% in software delivery throughput en een daling van 7,2% in delivery stability, grotendeels toegeschreven aan het feit dat AI de change- en batchgroottes opblaast in plaats van slechte code te produceren (DORA / Google Cloud, via InfoQ). Hetzelfde rapport vond dat slechts ongeveer 19% van de teams het "Elite"-prestatieniveau bereikt.
De les is ongemakkelijk voor iedereen die pure snelheid van codegeneratie verkoopt. Als uw developers meer change sneller kunnen produceren maar uw pipeline nog steeds grote batches merget, wordt uw lead time slechter en stijgt uw change failure rate. In een DORA-gereguleerde context is dalende delivery stability niet alleen een velocityprobleem, maar een weerbaarheidsprobleem met een rapportageverplichting eraan vast. De mitigatie is de oninteressante discipline die ouder is dan AI: kleine batches, trunk-based flow, snelle geautomatiseerde tests, progressive delivery en strakke feedback loops. AI is een force multiplier op welk deliverysysteem het ook landt. Vermenigvuldig een broos systeem en u krijgt snellere storingen.
Security-uitgaven stijgen omdat de dreiging stijgt
De druk vanuit "Security and Fraud Prevention" escaleert op meetbare wijze. Gartner verwacht dat de wereldwijde end-user uitgaven aan informatiebeveiliging in 2025 oplopen tot 213 miljard dollar, tegen 193 miljard dollar in 2024, een groei van ongeveer 10%, deels gedreven door AI- en generatieve-AI-gedreven dreigingen aan zowel aanvallers- als verdedigerszijde (Gartner, 2025). Voor financiële instellingen is de praktische implicatie dat security geen gate aan het einde van de pipeline kan zijn. Encryptie en multifactorauthenticatie zijn basisvereisten; de onderscheidende factor is het naar links verschuiven van controls het deliverysysteem zelf in, zodat dependency scanning, secrets management, signed artifacts en policy-as-code bij elke change draaien. Security die u bij elke deploy kunt aantonen, is ook security die u kunt verantwoorden aan een toezichthouder.
Wat dit betekent voor hoe u bouwt
Trek de lijnen samen en er ontstaat een consistent operating model voor senior teams in de financiële sector:
- Optimaliseer de vier kerndeliverymetrieken, niet de output. Lead time, deployment frequency, change failure rate en time-to-restore zijn de hefbomen die IT-uitgaven omzetten in veilige, snelle change. Ze zijn ook de beste proxy die u hebt voor operationele weerbaarheid op DORA-niveau.
- Houd batches klein, zeker met AI in de loop. De goedkoopste verdediging tegen door AI opgeblazen changegrootte is een pipeline die grote changes pijnlijk maakt en kleine triviaal. Trunk-based development en progressive delivery doen meer voor stabiliteit dan welke beleidsnotitie ook.
- Maak weerbaarheid en compliance uitvoerbaar. Herstelbaarheid, incidentdetectie, inventarisatie van derde partijen en controlebewijs horen thuis in code en pipelines, als bijproduct van hoe u uitlevert, niet handmatig in elkaar gezet vlak voor een audit.
- Behandel afhankelijkheden van derde partijen en cloud als eersteklas risico. Onder DORA zijn concentratierisico en exitstrategie uw probleem, of u het draaien ervan nu hebt uitbesteed of niet.
Niets hiervan is nieuw voor een staff engineer. Wat wél nieuw is, is dat regelgeving, AI-economie en security-uitgaven zijn samengekomen om elite deliverypraktijk tot voorwaarde te maken voor zowel compliance als concurrentievermogen, in plaats van een nice-to-have. De instellingen die de volgende cyclus winnen, zijn niet degene die de meeste software schreven, of zelfs degene die AI het snelst adopteerden. Het zijn degene wier deliverysystemen die snelheid kunnen absorberen zonder stabiliteit, security of het vermogen om beide aan te tonen te verliezen.
Expeditious Software bouwt en verstevigt precies die deliverycapaciteit voor financiële instellingen, over DevOps, cloud en platform engineering heen. Wilt u stijgende technologie-uitgaven omzetten in snellere, weerbaardere en aantoonbaar compliant change? Neem contact met ons op.
Bronnen
- Accelerate State of DevOps Report 2024 - DORA / Google Cloud, reported by InfoQ (2024)
- Regulation (EU) 2022/2554 - Digital Operational Resilience Act (DORA) - European Securities and Markets Authority (ESMA)
- Gartner Forecasts Worldwide End-User Spending on Information Security to Total $213 Billion in 2025 - Gartner (2025)
- The economic potential of generative AI: The next productivity frontier - McKinsey Global Institute (2023)
- Forecast: Enterprise IT Spending for the Banking and Investment Services Market, Worldwide, 2023-2029 (2Q25 Update) - Gartner (2025)
