Vanaf 17 januari 2025 is de Digital Operational Resilience Act (DORA) van toepassing op financiële instellingen in de Europese Unie. Banken, verzekeringsmaatschappijen, beleggingsondernemingen en hun kritieke ICT-leveranciers moeten aantonen dat zij digitaal weerbaar zijn. Voor veel organisaties die al werken met ISO 27001 rijst de vraag: dekt mijn bestaande informatiebeveiliging ook DORA af? Het antwoord is gedeeltelijk ja — maar er zijn belangrijke aanvullingen nodig.
In dit artikel vergelijken we DORA en ISO 27001, belichten we de overlappende gebieden en laten we zien wat ú nog moet regelen.
Wat is DORA en voor wie geldt het?
DORA is een Europese verordening (EU 2022/2554) die de digitale operationele veerkracht van de financiële sector versterkt. In tegenstelling tot een richtlijn werkt een verordening rechtstreeks in elke lidstaat, zonder nationale omzetting.
DORA is van toepassing op een breed scala aan entiteiten:
- Kredietinstellingen en banken
- Verzekeringsmaatschappijen en herverzekeraars
- Beleggingsondernemingen en fondsbeheerders
- Betaaldienstverleners en crypto-activadienstverleners
- Kritieke ICT-derde partijen (zoals cloudproviders en datacenters)
De kern van DORA draait om vijf pijlers: ICT-risicobeheer, incidentrapportage, testen van digitale weerbaarheid, beheer van ICT-risico’s bij derde partijen en informatie-uitwisseling.
Overlap tussen DORA en ISO 27001
ISO 27001 en DORA delen een gemeenschappelijk fundament: beide normen sturen op risicobeheer, beveiligingsmaatregelen en aantoonbare controle. Wie al een gecertificeerd ISMS heeft, staat voorsprong ten opzichte van organisaties die van nul moeten beginnen.
| DORA-verplichting | ISO 27001-equivalent |
|---|---|
| ICT-risicobeheerframework (Art. 5–16) | Clausule 6.1 Risicoanalyse + Annex A controls |
| Informatieclassificatie en -bescherming | Annex A 5.12–5.14 |
| Toegangsbeheer en authenticatie | Annex A 5.15–5.18 |
| Back-up en herstelplannen | Annex A 8.13–8.14 |
| Logging en monitoring | Annex A 8.15–8.16 |
| Leveranciersrisicobeheer | Annex A 5.19–5.22 |
Tip: Als je ISO 27001-scope al je financiële ICT-diensten omvat, kun je een groot deel van de DORA-documentatie rechtstreeks hergebruiken. Begin met een gap-analyse om te bepalen wat ontbreekt.
Wat DORA aanvullend vereist
Ondanks de overlap heeft DORA eisen die ISO 27001 niet of nauwelijks dekt:
1. Verplichte incidentrapportage aan toezichthouders DORA schrijft voor dat ernstige ICT-gerelateerde incidenten binnen strikte termijnen worden gemeld aan de bevoegde autoriteit (in Nederland: DNB of AFM). ISO 27001 vereist intern incidentbeheer maar geen externe rapportage aan regelgevers.
2. Dreigingsgestuurde penetratietests (TLPT) Grotere financiële instellingen moeten periodiek Threat-Led Penetration Testing uitvoeren volgens een Europees raamwerk. ISO 27001 noemt penetratietesten als optionele maatregel (Annex A 8.8), maar stelt geen frequentie of methodologie voor.
3. Register van ICT-derde partijen DORA vereist een gedetailleerd register van alle ICT-leveranciers, inclusief contractuele afspraken over veerkracht. ISO 27001 Annex A 5.19–5.22 dekt leveranciersbeheer, maar minder specifiek dan DORA eist.
4. Concentratierisico Organisaties moeten aantonen dat zij niet overmatig afhankelijk zijn van één ICT-leverancier of -dienst. Dit concentratierisico is een DORA-specifieke eis zonder directe ISO 27001-tegenhanger.
Hoe pakt je de combinatie aan?
De slimste aanpak is een geïntegreerde implementatie: gebruik je ISO 27001-framework als basis en vul het aan met DORA-specifieke elementen.
Stap 1: Gap-analyse Breng in kaart welke DORA-verplichtingen nog niet worden afgedekt door je huidige ISMS. Gebruik de vijf DORA-pijlers als structuur.
Stap 2: Documentatie uitbreiden Voeg DORA-specifieke beleidsdocumenten toe, zoals een ICT-derde-partijbeleid, een TLPT-plan en rapportagetemplate voor incidenten aan toezichthouders.
Stap 3: Processen aanpassen Zorg dat je incidentresponsproces voldoet aan de DORA-rapportagetermijnen: een initiële notificatie binnen 4 uur na classificatie als ernstig incident, en een eindrapport binnen één maand.
Stap 4: Leverancierscontracten herzien Controleer of je ICT-leverancierscontracten de door DORA vereiste clausules bevatten, zoals het recht op audits en afspraken over veerkracht en exitstrategieën.
Tijdlijn en toezicht
DORA is al van kracht, maar de Europese toezichthouders (ESA’s) publiceren nog technische standaarden (RTS/ITS) die de precieze invulling bepalen. Organisaties doen er verstandig aan nu al te beginnen met implementatie, zodat zij vóór de volgende toezichtsronde volledig compliant zijn.
In Nederland houdt De Nederlandsche Bank (DNB) toezicht op banken en verzekeraars, terwijl de Autoriteit Financiële Markten (AFM) toezicht houdt op beleggingsondernemingen en betaaldienstverleners.
Veelgestelde vragen
Geldt DORA ook voor kleine financiële ondernemingen? DORA kent een proportionaliteitsbeginsel. Kleine en niet-complexe instellingen (SNCI’s) krijgen een vereenvoudigd ICT-risicobeheerkader, maar zijn niet volledig vrijgesteld. Controleer bij je toezichthouder of je organisatie als SNCI kwalificeert.
Kan ik DORA-compliance aantonen met mijn ISO 27001-certificaat? Een ISO 27001-certificaat is een sterke indicator van volwassenheid, maar is op zichzelf geen DORA-compliance bewijs. DORA vereist aanvullende documentatie en processen die buiten de ISO 27001-scope vallen.
Wat zijn de sancties bij niet-naleving van DORA? Toezichthouders kunnen corrigerende maatregelen opleggen, boetes uitschrijven en in ernstige gevallen vergunningen intrekken. De exacte sanctiehoogtes worden per lidstaat geregeld binnen de DORA-kaders.
Klaar om te starten? Control One begeleidt je stap voor stap bij zowel ISO 27001 als DORA-compliance — vanuit één geïntegreerd platform.
Klaar om te starten met ISO 27001?
Control One begeleidt je stap voor stap door het volledige implementatieproces. Van gap-analyse tot certificeringsaudit — inclusief alle templates en werkstromen.