Antieke koperen weegschaal op mahonie tafel, compliance documenten wegen zwaarder dan een printplaat en USB-stick

DORA: waarom compliance en governance belangrijker zijn dan techniek

in

DORA-compliance draait niet om de nieuwste firewalls of encryptiesoftware, maar om governance en risicomanagement. De Digital Operational Resilience Act verplicht financiële instellingen en hun IT-dienstverleners om aantoonbaar grip te hebben op ICT-risico’s via beleid, procedures en verantwoordelijkheden. Techniek is slechts een middel; de organisatorische inrichting bepaalt of je voldoet aan de DORA-vereisten.

Wat is DORA en waarom draait het om meer dan alleen techniek?

De Digital Operational Resilience Act is Europese wetgeving die de digitale weerbaarheid van de financiële sector versterkt. DORA is sinds januari 2025 van kracht en verplicht organisaties om aan te tonen dat zij voldoende maatregelen hebben geïmplementeerd én dat deze effectief werken. De wet maakt deel uit van het EU-pakket voor digitale financiën en richt zich specifiek op het vergroten van de operationele weerbaarheid.

De wetgever kiest bewust voor een governance-gedreven aanpak. Technische beveiligingsmaatregelen zoals firewalls en antivirussoftware zijn belangrijk, maar zonder gedegen beleid en duidelijke verantwoordelijkheden blijven ze losse onderdelen. De DORA-wetgeving erkent dat echte digitale weerbaarheid ontstaat wanneer ICT-risicomanagement structureel is ingebed in de bedrijfsvoering.

Het toepassingsgebied is breed: banken, verzekeraars, beleggingsfondsen, betaaldiensten én hun kritieke IT-dienstverleners vallen onder de DORA-regelgeving voor de financiële sector. Dit betekent dat ook cloudproviders, softwareleveranciers en datacenters moeten voldoen aan dezelfde standaarden wanneer zij diensten leveren aan financiële instellingen.

Welke governance-eisen stelt DORA aan organisaties?

DORA stelt concrete governancevereisten die het bestuur direct verantwoordelijk maken voor ICT-risicobeheer. Het management moet actief betrokken zijn bij het vaststellen van beleid, het goedkeuren van risicoanalyses en het monitoren van de effectiviteit van maatregelen. Deze bestuursverantwoordelijkheid is niet delegeerbaar.

De vijf pijlers van DORA vormen het raamwerk voor governance en compliance:

  • ICT-risicomanagement: structureel identificeren, beoordelen en beheersen van digitale risico’s
  • Incidentenbeheer: procedures voor detectie, classificatie en melding van ICT-gerelateerde incidenten
  • Digitale operationele weerbaarheidstests: periodiek testen van systemen en processen
  • Derdenbeheer: strikt toezicht op uitbesteding aan IT-dienstverleners
  • Informatie-uitwisseling: delen van dreigingsinformatie binnen de sector

Documentatieplichten spelen een centrale rol. Organisaties moeten beleid, procedures en risicoanalyses vastleggen en actueel houden. Interne controle en audit moeten periodiek toetsen of de governance-inrichting daadwerkelijk functioneert. Het NOREA DORA in Control Framework integreert hierbij vragen van De Nederlandsche Bank, wat inzicht geeft in de verwachtingen van toezichthouders.

Waarom is ICT-risicomanagement belangrijker dan technische beveiligingsmaatregelen?

DORA verplicht organisaties tot een structurele risicomanagementaanpak die verder gaat dan het implementeren van technische oplossingen. ICT-risicobeheer volgens DORA betekent dat je continu risico’s identificeert, beoordeelt en beheerst als onderdeel van de normale bedrijfsvoering. Een firewall beschermt tegen bekende aanvallen; risicomanagement zorgt dat je voorbereid bent op onbekende dreigingen.

Het verschil zit in de systematiek. Technische maatregelen zijn vaak reactief en statisch. ICT-risicomanagement is proactief en dynamisch. Je analyseert welke processen kritiek zijn, welke afhankelijkheden bestaan en welke scenario’s de continuïteit bedreigen. Op basis daarvan neem je gerichte maatregelen en monitor je of deze effectief blijven.

Continue monitoring is essentieel. Risico’s veranderen door nieuwe technologieën, gewijzigde processen of externe dreigingen. DORA vereist dat organisaties hun risicoanalyses periodiek herzien en de effectiviteit van beheersmaatregelen toetsen. Het maturitymodel van DNB adviseert minimaal niveau 3 (Defined), waarbij de werking van maatregelen aantoonbaar en getest is.

Hoe bereid je je organisatie voor op DORA zonder te verdrinken in technische details?

Een effectieve DORA-implementatie begint niet bij techniek, maar bij het vaststellen van verantwoordelijkheden en het betrekken van de juiste stakeholders. Governance en compliance vereisen samenwerking tussen IT, riskmanagement, compliance en het bestuur. Maak duidelijk wie waarvoor verantwoordelijk is en leg dit vast.

Praktische stappen voor een governancegerichte aanpak:

  • Voer een gap-assessment uit om te bepalen welke risico’s of maatregelen nog ontbreken voor voldoende digitale weerbaarheid
  • Stel een DORA-beleidskader op dat aansluit bij bestaande governancestructuren
  • Betrek het bestuur actief bij het goedkeuren van beleid en risicoanalyses
  • Richt een monitoringstructuur in die periodiek de effectiviteit van maatregelen toetst
  • Documenteer procedures voor incidentenbeheer en meldplichten
  • Breng uitbestedingsrelaties in kaart en beoordeel risico’s bij kritieke IT-dienstverleners

Prioriteer governanceaspecten boven technische implementaties. Een gedocumenteerd en getest proces voor incidentmelding is waardevoller dan de nieuwste detectiesoftware zonder duidelijke procedures. Organisaties die vroeg starten met baselinemetingen identificeren sneller gaps en bouwen een solide fundament voor structurele operationele weerbaarheid.

Wat zijn de gevolgen van gebrekkige DORA-governance voor je organisatie?

Niet voldoen aan DORA-governance-eisen leidt tot concrete risico’s. Toezichthouders zoals DNB en AFM hebben handhavingsbevoegdheden die variëren van waarschuwingen tot boetes en het intrekken van vergunningen. Organisaties die onvoldoende voorbereid zijn, riskeren onaangename verrassingen tijdens toezichtinspecties.

De gevolgen reiken verder dan formele sancties:

  • Operationele kwetsbaarheden: zonder structureel risicomanagement blijven zwakke plekken onopgemerkt
  • Reputatieschade: incidenten die voorkomen hadden kunnen worden, schaden het vertrouwen van klanten en partners
  • Contractuele risico’s: zakelijke relaties met financiële instellingen kunnen onder druk komen te staan
  • Hogere kosten bij incidenten: gebrekkige voorbereiding leidt tot langere hersteltijden en grotere schade

De DORA-regelgeving voor de financiële sector is afgestemd op NIS2 om juridische coherentie te waarborgen. Dit betekent dat organisaties die onder beide wetgevingen vallen, een geïntegreerde aanpak nodig hebben. Gebrekkige governance bij DORA kan ook gevolgen hebben voor NIS2-compliance.

Hoe helpt Hoek en Blok IT bij DORA-compliance en governance?

Hoek en Blok IT ondersteunt organisaties bij het opzetten en uitvoeren van een pragmatische DORA-aanpak. Met NOREA-gecertificeerde IT-auditors en ruime ervaring in de financiële sector bieden zij concrete hulp bij governance-inrichting en compliancevraagstukken.

Specifieke dienstverlening omvat:

  • DORA-audit: beoordeling van compliance met regelgevingsvereisten
  • Gap-assessments: bepalen welke risico’s of maatregelen nog nodig zijn voor voldoende digitale weerbaarheid
  • Ondersteuning bij implementatie van DORA-maatregelen om geïdentificeerde gaps te dichten
  • Inrichting van monitoringstructuren voor periodieke effectiviteitstoetsing
  • IT Security Officer as-a-Service: externe expertise voor organisaties zonder dedicated security officer
  • Ondersteuning bij governance-inrichting en beleidsvorming rondom ICT-risico’s

De aanpak is betaalbaar en resultaatgericht, met focus op zowel compliance als praktische veiligheidsverbetering. Neem contact op voor een vrijblijvend adviesgesprek over jouw DORA-implementatie.