Sinds 17 januari 2025 is de Digital Operational Resilience Act (DORA) van toepassing op financiële instellingen in de hele Europese Unie. De verordening stelt verregaande eisen aan ICT-weerbaarheid en legt de nadruk op operationele continuïteit bij digitale verstoringen. Voor banken, verzekeraars, beleggingsondernemingen en hun kritieke ICT-leveranciers betekent dit een ingrijpende verandering van hun compliance-verplichtingen.
Wat is DORA en voor wie geldt het?
DORA is een Europese verordening (2022/2554) die rechtstreeks van toepassing is in alle EU-lidstaten, zonder omzetting in nationaal recht. De reikwijdte is breed: meer dan twintig categorieën financiële entiteiten vallen onder de wet, waaronder:
- Kredietinstellingen en banken
- Verzekeringsmaatschappijen en herverzekeraars
- Beleggingsondernemingen en vermogensbeheerders
- Betaalinstellingen en elektronischgeldinstellingen
- Crypto-activadienstverleners (MiCA-entiteiten)
- Centrale effectenbewaarinstellingen
Opvallend is dat DORA ook kritieke ICT-derde aanbieders (zogenaamde Critical Third-Party Providers of CTPP’s) direct kan aanwijzen en reguleren. Grote cloudleveranciers die essentiële diensten leveren aan de financiële sector, komen daardoor eveneens in het blikveld van de toezichthouder.
Tip: Breng als eerste stap je volledige ICT-toeleveringsketen in kaart. DORA vereist dat je inzicht heeft in alle kritieke afhankelijkheden, inclusief sub-uitbestedingen van je directe leveranciers.
De vijf pijlers van DORA-compliance
DORA is opgebouwd rond vijf onderling samenhangende pijlers. Samen vormen ze een raamwerk voor digitale operationele weerbaarheid.
| Pijler | Kernverplichting | Toezichthouder |
|---|---|---|
| ICT-risicobeheer | Kader, beleid, procedures en tools | DNB / AFM |
| ICT-incidentbeheer | Classificatie, rapportage aan toezichthouder | DNB / AFM |
| Digitale weerbaarheidstest | Jaarlijkse tests, TLPT voor grote instellingen | DNB |
| ICT-derde partij risico | Contractuele eisen, register, uitbestedingstoezicht | DNB / AFM |
| Informatie-uitwisseling | Vrijwillig delen van dreigingsinformatie | Sectorbreed |
Het ICT-risicobeheer kader is de ruggengraat van DORA. Het vereist een gedocumenteerde governance-structuur met duidelijke rollen voor de directie, een risicotolerantiebeleid en een register van alle ICT-activa.
ICT-incidentrapportage: strenge termijnen
Een van de meest ingrijpende verplichtingen betreft de rapportage van ernstige ICT-incidenten aan de bevoegde autoriteit. DORA hanteert een drietraps systeem:
- Initiële melding — binnen vier uur nadat het incident als ernstig is geclassificeerd (en uiterlijk 24 uur na detectie)
- Tussentijdse melding — binnen 72 uur, met een update van de situatie
- Eindrapport — binnen één maand na de initiële melding, met grondoorzaakanalyse en herstelmaatregelen
De classificatiecriteria voor “ernstige” incidenten zijn vastgelegd in technische reguleringsnormen (RTS) van de Europese toezichthouders (ESA’s). Drempelwaarden zijn gekoppeld aan het aantal getroffen gebruikers, de duur van de verstoring en de financiële impact.
Threat-Led Penetration Testing (TLPT)
Grote financiële instellingen zijn verplicht periodiek Threat-Led Penetration Tests (TLPT) uit te voeren. Dit zijn geavanceerde, realistische aanvalssimulaties op productiesystemen, gebaseerd op actuele dreigingsinformatie. TLPT verschilt wezenlijk van gewone penetratietesten:
- Uitgevoerd door gecertificeerde externe partijen
- Vereist toestemming en coördinatie van de bevoegde autoriteit (DNB)
- Scope omvat kritieke functies en systemen in productie
- Frequentie: minimaal eens per drie jaar
Kleinere instellingen mogen volstaan met vereenvoudigde weerbaarheidstests op basis van een eigen risicobeoordeling.
Veelgestelde vragen
Geldt DORA ook voor kleine financiële instellingen? Ja, maar DORA hanteert het proportionaliteitsbeginsel. Kleine instellingen mogen een vereenvoudigd ICT-risicobeheer kader toepassen en zijn vrijgesteld van de TLPT-verplichting.
Wat verandert er voor bestaande outsourcing-contracten? Bestaande contracten met ICT-leveranciers moeten worden herzien en waar nodig aangevuld met de contractuele clausules die DORA verplicht stelt, zoals auditrechten en exit-strategieën.
Welke toezichthouder is in Nederland verantwoordelijk voor DORA? De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) zijn de bevoegde autoriteiten, afhankelijk van het type instelling.
Is DORA te combineren met NIS2-compliance? DORA heeft voorrang op NIS2 voor financiële instellingen die onder beide verordeningen vallen. Veel maatregelen overlappen, maar DORA is specifieker en strenger voor de financiële sector.
Welke boetes zijn mogelijk bij niet-naleving? Lidstaten stellen de boetes vast. In Nederland kunnen toezichthouders op grond van bestaande bevoegdheden aanzienlijke bestuurlijke sancties opleggen. Bovendien kan de toezichthouder tijdelijke verboden op activiteiten opleggen.
Heb je organisatie ondersteuning nodig bij de implementatie van DORA? Control One begeleidt financiële instellingen bij compliance-vraagstukken. Bekijk onze aanpak en tarieven op de prijzenpagina.
Compliant aan NIS2, AVG of DORA?
Control One koppelt wettelijke verplichtingen aan je ISO-controls, beleid en risicoanalyse. Eén platform voor zowel ISO als wetgeving.
Gerelateerde artikelen
AVG datalekken melden: procedure en verplichting
Een datalek melden bij de AP — wanneer verplicht, binnen welke termijn en wat vermeldt je?
NIS2 en leveranciersketen: hoe beheert je ketenrisico's?
NIS2 verplicht aandacht voor supply chain security. Hoe beheert je risico's in je leveranciersketen?
NIS2 boetes en sancties: wat riskeert je?
NIS2 kent boetes tot €10 miljoen of 2% omzet. Wanneer worden ze opgelegd en hoe voorkomt je ze?
NIS2 zorgplicht: concrete maatregelen voor je organisatie
De NIS2 zorgplicht vertaalt zich naar 10 concrete maatregelengebieden. Wat moet je implementeren?