Hoek en Blok.IT
  • Diensten
    • IT-audit en assurance
      • SOC 2
      • ISAE 3402
      • ISAE 3000
      • ISO 27001
      • Internal audit services
      • AVG 0-meting
    • IT security
      • NIS2
      • DORA
      • IT security as a service
      • IT security test
      • Business Continuity Plan
      • Azure Security Scan
    • Procesoptimalisatie
      • Procesmanager
      • Pakketselectie
  • Klantcases
  • Kennisbank
    • Blogs
    • Nieuws
  • Over ons
    • Over ons
    • Ons team
    • Werken bij Hoek en Blok IT
  • Contact
  • Menu Menu
Handen met vergrootglas onthullen hiaat tussen compliance-documenten op houten vergadertafel met rode tabbladen

Hoe voer je een DORA gap-analyse uit?

in Blogs

Een DORA-gap-analyse is een systematische vergelijking tussen de huidige ICT-situatie van jouw organisatie en de vereisten uit de Digital Operational Resilience Act. Door deze analyse breng je tekortkomingen in kaart op het gebied van ICT-risicomanagement, incidentbeheer, weerbaarheidstesten en het beheer van externe ICT-dienstverleners. Met de inzichten uit een gap-analyse kun je gericht werken aan compliance vóór de deadline en aantoonbaar in control zijn richting toezichthouders.

Wat is een DORA-gap-analyse en waarom is deze essentieel?

Een DORA-gap-analyse is een nulmeting die de afstand bepaalt tussen jouw huidige ICT-inrichting en de wettelijke vereisten uit DORA. Het doel is helder: identificeren waar jouw organisatie nog niet voldoet aan de eisen voor digitale operationele weerbaarheid. Dit omvat tekortkomingen in ICT-risicomanagement, incidentrapportage, periodieke weerbaarheidstesten en het beheer van risico’s bij uitbesteding aan derden.

Voor financiële instellingen en hun toeleveranciers is deze analyse geen luxe, maar noodzaak. DORA is sinds januari 2023 van kracht en organisaties moeten per januari 2025 volledig compliant zijn. Een gap-analyse vormt het logische startpunt om vast te stellen of DORA daadwerkelijk is geïmplementeerd. Zonder deze nulmeting weet je simpelweg niet waar je staat en welke acties prioriteit verdienen.

Belangrijk om te beseffen: DORA vraagt om aantoonbaarheid, niet alleen om beleid op papier. Een gap-analyse helpt je te bepalen hoe je kunt laten zien dat je in control bent richting toezichthouders zoals DNB.

Welke DORA-vereisten moet je meenemen in je gap-analyse?

DORA kent vijf kernpijlers die je systematisch moet analyseren. Elke pijler bevat specifieke controlepunten en documentatievereisten die in jouw gap-analyse thuishoren.

  • ICT-risicomanagementframework: Beoordeel of je een gedocumenteerd ICT-risicobeheerkader hebt dat digitale dreigingen beheerst en klantgegevens beschermt. Controleer of regelmatige risicobeoordelingen worden uitgevoerd.
  • ICT-gerelateerde incidentrapportage: Analyseer of er procedures bestaan voor snelle opsporing en melding van ICT-incidenten. Denk aan datalekken en cyberaanvallen die gemeld moeten worden bij de toezichthouder.
  • Digitale operationele weerbaarheidstesten: Controleer of er een structureel testprogramma bestaat, inclusief penetratietests en vulnerability assessments.
  • ICT-third-party-risicobeheer: Inventariseer alle ICT-dienstverleners en beoordeel of contracten voldoen aan DORA-vereisten. Dit omvat cloudproviders, softwareleveranciers en datacentra.
  • Informatie-uitwisseling: Bepaal of er mechanismen bestaan voor het delen van cyberdreigingsinformatie binnen de sector.

Per pijler documenteer je de huidige situatie, de vereiste situatie en het verschil daartussen. Dit vormt de basis voor je remediëringsplan.

Hoe bereid je een DORA-gap-analyse stap voor stap voor?

Een gedegen voorbereiding bepaalt het succes van je gap-analyse. Begin met het samenstellen van een multidisciplinair projectteam met vertegenwoordigers van IT, compliance en riskmanagement. Bestuurlijke betrokkenheid is cruciaal, omdat DORA primair een governance- en organisatievraagstuk is.

Verzamel vervolgens alle relevante documentatie:

  • Bestaand ICT-beleid en informatieveiligheidsbeleid
  • Incidentresponsprocedures en escalatieprotocollen
  • Contracten met ICT-leveranciers en uitbestedingsovereenkomsten
  • Rapportages van eerdere penetratietests en security-assessments
  • Risicoanalyses en business impact assessments

Bepaal de scope door kritieke functies en systemen te prioriteren. Niet alle processen hebben dezelfde impact op de bedrijfscontinuïteit. Focus op systemen die essentieel zijn voor de dienstverlening aan klanten.

Selecteer een geschikt assessmentframework. Een normenkader helpt bij het gestructureerd doorlopen van alle DORA-vereisten en zorgt voor vergelijkbare resultaten.

Welke tools en frameworks kun je gebruiken voor een DORA-gap-analyse?

Diverse hulpmiddelen ondersteunen je bij het uitvoeren van een DORA-gap-analyse. DORA-compliancechecklists bieden een overzicht van alle vereisten en helpen voorkomen dat je iets over het hoofd ziet. Maturity-assessmentframeworks geven inzicht in het volwassenheidsniveau van je huidige maatregelen.

Het NOREA DORA in Control Framework integreert vragen van DNB voor zowel banken als pensioenfondsen en verzekeraars. Deze toezichthoudervragen geven praktisch inzicht in waar de focus van regelgevers ligt. Let op: vragen kunnen wijzigen en de volledige DORA-verordening blijft van toepassing.

Mappingtools koppelen DORA-artikelen aan bestaande frameworks zoals ISO 27001 of ISAE 3402. Dit is waardevol wanneer je organisatie al werkt met deze standaarden. Je kunt dan bestaande beheersmaatregelen hergebruiken en hoeft niet alles opnieuw op te bouwen.

Houd bij het kiezen van tools rekening met de omvang en complexiteit van je organisatie. Een middelgrote organisatie heeft andere behoeften dan een grote financiële instelling. Kies voor pragmatische tools die passen bij jouw situatie.

Wat zijn de meest voorkomende gaps bij DORA-implementatie?

Uit de praktijk blijken bepaalde tekortkomingen regelmatig voor te komen. Veel organisaties denken DORA wel op orde te hebben, maar worstelen juist met details en aantoonbaarheid.

Ontbrekende of verouderde ICT-risicobeoordeling: Risicoanalyses zijn vaak eenmalig uitgevoerd en niet geactualiseerd. DORA vereist regelmatige ICT-risicobeoordelingen om systemen en data veilig te houden.

Onvoldoende documentatie van incidentresponsprocedures: Procedures bestaan soms wel in de hoofden van medewerkers, maar zijn niet vastgelegd. Bij een incident moet je kunnen aantonen hoe je hebt gehandeld.

Geen structureel testprogramma: Penetratietests worden ad hoc uitgevoerd in plaats van periodiek. DORA vereist regelmatige weerbaarheidstesten om te voldoen aan toezichthouder- en klanteisen.

Incomplete inventarisatie van ICT-dienstverleners: Organisaties hebben vaak geen volledig overzicht van alle partijen aan wie ICT-diensten zijn uitbesteed, inclusief onderaannemers.

Contractuele tekortkomingen bij uitbesteding: Bestaande contracten bevatten niet alle DORA-vereiste bepalingen over beveiliging, audits en exitregelingen.

Hoe prioriteer je de gevonden gaps en stel je een actieplan op?

Na het identificeren van gaps is prioritering essentieel. Classificeer elke gap op basis van twee criteria: risico-impact (wat is het gevolg als dit niet wordt opgelost?) en urgentie (hoe snel moet dit worden aangepakt?).

Gaps met hoge impact én hoge urgentie verdienen directe aandacht. Denk aan ontbrekende incidentrapportageprocedures of kritieke contractuele tekortkomingen bij belangrijke leveranciers.

Stel een realistisch implementatieplan op met:

  • Concrete acties per gap
  • Verantwoordelijke personen of teams
  • Realistische tijdlijnen
  • Benodigde resources en budget

Stem het plan af op budgetcycli en andere compliance-initiatieven. Wellicht lopen er al projecten voor ISO 27001 of SOC 2 waar je synergie kunt behalen.

Creëer een mix van quick wins en langetermijnverbeteringen. Quick wins (zoals het documenteren van bestaande procedures) tonen voortgang en creëren draagvlak. Langetermijnverbeteringen (zoals het implementeren van een nieuw testprogramma) vragen meer tijd, maar zijn essentieel voor duurzame compliance.

Hoe helpt Hoek en Blok IT bij je DORA-gap-analyse?

Hoek en Blok IT ondersteunt organisaties bij het uitvoeren van onafhankelijke DORA-gap-analyses met een pragmatische aanpak die past bij middelgrote organisaties.

  • Uitvoeren van nulmetingen door NOREA-gecertificeerde EDP-auditors met meer dan 30 jaar praktijkervaring in de financiële sector
  • Gestructureerde assessmentaanpak via interviews, documentreview en inspectie van configuraties
  • Heldere rapportage die zowel verbeterpunten als sterke punten identificeert
  • Ondersteuning bij het opstellen van concrete remediëringsplannen
  • Doorlopende begeleiding via IT Security Officer as-a-Service
  • Mogelijkheid tot assurancerapportages (zoals ISAE 3000) om naleving aantoonbaar te maken

Wil je weten waar jouw organisatie staat ten opzichte van de DORA-vereisten? Neem contact op voor een vrijblijvend gesprek over een DORA-gap-analyse op maat.

Deel dit stuk
  • Facebook Facebook Delen op Facebook
  • X-twitter X-twitter Delen op X
  • Whatsapp Whatsapp Delen op WhatsApp
  • Linkedin Linkedin Delen op LinkedIn
  • Mail Mail Delen via e-mail
https://www.hoekenblok.it/wp-content/uploads/2026/01/compliance-documenten-controle-vergrootglas-kantoor.jpg 768 1024 Steven Verkaart http://hoekenblok.it/wp-content/uploads/2020/02/Logo-HBL-IT2-555x156-1.png Steven Verkaart2026-06-12 06:00:002026-05-07 12:48:49Hoe voer je een DORA gap-analyse uit?

Categorieën

  • Blogs
  • DORA
  • ISAE 3000
  • ISAE 3000, ISAE 3402 en SOC 2
  • ISAE 3402
  • IT security
  • IT security manager
  • IT security officer as a service
  • IT security test
  • Kennisbank
  • Klantcases
  • Nieuws
  • NIS2
  • Procesmanager
  • SOC 2
  • Whitepapers

Transformeer jouw IT. Bescherm je bedrijf.

Onze experts verbeteren jouw IT-infrastructuur, beveiligen je tegen hackers, en zorgen dat je voldoet aan de AVG. Toon je klanten dat je controle hebt – wij regelen het voor je.

Neem vandaag nog contact op en versterk je IT!

Diensten

ISAE 3402 assurance

SOC 2 assurance

IT security test

Pakketselectie

IT security as a service

Business continuity plan

Contactgegevens

Stationspark 625
3364 DA Sliedrecht
Postbus 307
3360 AH Sliedrecht

Tuindersweg 22
2991 LR Barendrecht
Postbus 35
2990 AA Barendrecht

Newday-gebouw
Apollolaan 151
1077 EM Amsterdam

t +31 (0)184 49 68 00

www.hoekenblok.IT
info@hoekenblok.IT

Copyright 2025 - Hoek en Blok IT | Algemene voorwaarden | Disclaimer | Privacyverklaring | Klachtenregeling - Enfold Theme by Kriesi
Link naar: In 5 stappen NIS 2-proof: een praktisch stappenplan Link naar: In 5 stappen NIS 2-proof: een praktisch stappenplan In 5 stappen NIS 2-proof: een praktisch stappenplanHanden plaatsen laatste stukje van schildvormige houten puzzel op bureau, naast compliance-documenten en hangslot. Link naar: Waar vind je hulp bij DORA-implementatie? Link naar: Waar vind je hulp bij DORA-implementatie? Professionele handen reiken over een mahonie vergadertafel naar een compliance-map, met kompas en vuurtoren als symbolen.Waar vind je hulp bij DORA-implementatie?
Scroll naar bovenzijde Scroll naar bovenzijde Scroll naar bovenzijde