EU-regelgevingsdocument met officieel zegel op houten bureau, naast miniatuur bedrijfsgebouw en leesbril in natuurlijk licht

Geldt DORA ook voor mkb-bedrijven?

in

DORA geldt niet automatisch voor alle mkb-bedrijven, maar de regelgeving kan wel degelijk relevant zijn voor jouw organisatie. Direct vallen mkb-bedrijven onder DORA wanneer zij als financiële entiteit kwalificeren, zoals kleine beleggingsondernemingen of betaaldienstverleners. Indirect krijgen mkb-bedrijven met DORA te maken wanneer zij ICT-diensten leveren aan financiële instellingen. In dit artikel beantwoorden we de belangrijkste vragen over DORA en mkb-bedrijven.

Wat is DORA en voor welke organisaties geldt deze regelgeving?

DORA staat voor de Digital Operational Resilience Act, een Europese verordening die de digitale operationele weerbaarheid van de financiële sector versterkt. De regelgeving beschermt financiële instellingen tegen cyberaanvallen en ICT-verstoringen die hun dienstverlening kunnen onderbreken. Vanaf 17 januari 2025 moeten organisaties volledig voldoen aan alle DORA-vereisten.

De primaire doelgroep van DORA bestaat uit financiële entiteiten binnen de Europese Unie. Dit omvat een breed scala aan organisaties:

  • Banken en kredietinstellingen
  • Verzekeraars en herverzekeraars
  • Beleggingsondernemingen en beheerders van beleggingsfondsen
  • Betalingsinstellingen en elektronische geldinstellingen
  • Crypto-dienstverleners
  • Instellingen voor collectieve belegging in effecten

DORA maakt deel uit van het EU-pakket voor digitale financiën, dat innovatie stimuleert terwijl risico’s worden beperkt. De wetgeving creëert een uniform beschermingsniveau binnen de Europese financiële sector en is afgestemd op NIS2 om juridische coherentie te waarborgen tussen verschillende cyberveiligheidsregels.

Valt mijn mkb-bedrijf direct onder de DORA-verplichtingen?

Jouw mkb-bedrijf valt direct onder DORA wanneer het als financiële entiteit kwalificeert onder EU-regelgeving. Dit betekent dat ook kleinere beleggingsondernemingen, betaaldienstverleners of verzekeraars aan de DORA-eisen moeten voldoen. De omvang van je organisatie bepaalt niet of DORA van toepassing is, maar wel hoe streng de eisen worden toegepast.

DORA hanteert het proportionaliteitsbeginsel. Dit houdt in dat kleinere financiële ondernemingen vereenvoudigde ICT-risicobeheerframeworks mogen hanteren die passen bij hun omvang, risicoprofiel en de complexiteit van hun dienstverlening. De toezichthouder verwacht geen identieke maatregelen van een kleine betaaldienstverlener als van een grote bank.

Voor micro-ondernemingen binnen de financiële sector gelden specifieke uitzonderingen. Organisaties met minder dan tien werknemers en een jaaromzet of balanstotaal onder de twee miljoen euro kunnen in aanmerking komen voor verlichte eisen. Dit betekent echter niet dat zij volledig zijn vrijgesteld van DORA-verplichtingen.

Twijfel je of jouw organisatie als financiële entiteit kwalificeert? Controleer dan of je onder toezicht staat van een financiële toezichthouder zoals DNB of de AFM. Valt jouw bedrijf onder hun toezicht, dan is DORA waarschijnlijk van toepassing.

Wanneer krijgt een mkb-bedrijf indirect met DORA te maken?

Mkb-bedrijven die ICT-diensten leveren aan financiële instellingen krijgen indirect met DORA te maken via de keten. DORA erkent dat financiële instellingen vaak afhankelijk zijn van externe IT-dienstverleners en stelt daarom eisen aan het beheer van deze relaties. Als toeleverancier kun je te maken krijgen met aangescherpte contractuele verplichtingen.

Kritieke derde dienstverleners vallen expliciet onder DORA. Dit omvat bedrijven die IT-systemen beheren, software ontwikkelen of data opslaan voor financiële instellingen. Specifiek gaat het om:

  • Cloudcomputingproviders
  • Softwareleveranciers
  • Datacentra en hostingpartijen
  • IT-beheerdiensten

Financiële instellingen moeten onder DORA strikt beheer voeren over hun IT-dienstverleners. Dit betekent dat zij contractuele afspraken maken die digitale weerbaarheid waarborgen en toezicht houden op de prestaties van hun leveranciers. Als mkb-toeleverancier kun je daarom te maken krijgen met:

  • Aangescherpte beveiligingseisen in contracten
  • Periodieke audits door of namens de financiële instelling
  • Verplichte incidentmeldingen bij ICT-verstoringen
  • Eisen aan bedrijfscontinuïteit en disaster recovery

Externe leveranciers moeten voldoen aan dezelfde beveiligingsstandaarden als de financiële instelling zelf. Dit kan betekenen dat jouw organisatie moet investeren in aanvullende beveiligingsmaatregelen of documentatie om als leverancier te kunnen blijven fungeren.

Welke DORA-eisen zijn relevant voor kleinere organisaties?

DORA kent vijf pijlers die proportioneel worden toegepast op basis van omvang en risicoprofiel. Voor kleinere organisaties zijn niet alle eisen even zwaar, maar de kernprincipes blijven van toepassing. Een goed begrip van deze pijlers helpt bij het bepalen van de relevante verplichtingen voor jouw situatie.

ICT-risicomanagement vormt de basis van DORA. Organisaties moeten een risicobeheerkader inrichten om digitale dreigingen te beheersen en klantgegevens te beschermen. Kleinere entiteiten mogen een vereenvoudigd kader hanteren dat past bij hun complexiteit.

Incidentrapportage vereist snelle opsporing en melding van ICT-incidenten. Financiële entiteiten moeten ernstige incidenten melden bij de toezichthouder. De meldingstermijnen en rapportageformats zijn vastgelegd in de regelgeving.

Digitale weerbaarheidstests moeten de operationele veerkracht regelmatig toetsen. Voor grotere en meer kritieke instellingen zijn threat-led penetration tests verplicht. Kleinere organisaties kunnen volstaan met minder intensieve testvormen.

Beheer van ICT-derdepartijrisico’s behelst het strikt beheren van relaties met externe IT-dienstverleners. Dit omvat het beoordelen van uitbestedingsrisico’s en het maken van passende contractuele afspraken.

Informatie-uitwisseling stimuleert het actief delen van cyberdreigingsinformatie. Dit helpt organisaties sneller te reageren op nieuwe risico’s en maakt de sector als geheel veiliger.

Hoe bereid je je als mkb-bedrijf voor op DORA-compliance?

Een goede voorbereiding begint met het vaststellen of en hoe DORA op jouw organisatie van toepassing is. Een nulmeting is een logisch startpunt om vast te stellen waar je staat ten opzichte van de DORA-vereisten. Veel organisaties denken compliant te zijn, maar worstelen juist met details en aantoonbaarheid.

Voer een gap-analyse uit om de huidige situatie te vergelijken met de DORA-eisen. Breng in kaart welke processen, documentatie en technische maatregelen al aanwezig zijn en waar aanvullingen nodig zijn. Let specifiek op:

  • De inrichting van ICT-risicomanagement en governance
  • Procedures voor incidentdetectie en -rapportage
  • Contracten met ICT-dienstverleners en uitbestedingspartijen
  • Documentatie van beveiligingsmaatregelen en tests

DORA vraagt om aantoonbaarheid, niet alleen beleid. Je moet kunnen laten zien dat je in control bent. Dit betekent dat processen gedocumenteerd moeten zijn en dat je bewijs kunt leveren van uitgevoerde maatregelen en tests.

Bereid je voor op mogelijke auditeisen van klanten in de financiële sector. Een ISAE 3000-verklaring kan een manier zijn om naleving aantoonbaar te maken richting financiële instellingen die jouw diensten afnemen. Dit bespaart tijd doordat je niet voor elke klant afzonderlijk audits hoeft te doorlopen.

Vergeet niet dat DORA primair een governance- en organisatievraagstuk is, niet alleen een IT-thema. Bestuurlijke verantwoordelijkheid en de inrichting van de second line zijn cruciaal voor succesvolle compliance.

Hoe helpt Hoek en Blok IT bij DORA-compliance voor mkb-bedrijven?

Hoek en Blok IT ondersteunt mkb-organisaties bij elke stap van DORA-voorbereiding en compliance. Met NOREA-gecertificeerde EDP-auditors en een pragmatische aanpak helpen zij organisaties efficiënt te voldoen aan DORA-vereisten, zonder onnodige administratieve lasten.

De relevante diensten voor DORA-compliance omvatten:

  • IT-audits en ISAE-verklaringen: ISAE 3000- en ISAE 3402-verklaringen om naleving aantoonbaar te maken richting financiële instellingen
  • Security-assessments: grondige analyse van ICT-risico’s en kwetsbaarheden binnen jouw organisatie
  • Penetratietests: ethical hacking om de digitale weerbaarheid te toetsen conform DORA-vereisten
  • IT Security Officer as a Service: doorlopende ondersteuning bij het inrichten en onderhouden van ICT-risicomanagement

De aanpak van Hoek en Blok IT combineert technische expertise met auditervaring. Dit resulteert in een op maat gemaakt risicobeheerkader dat voldoet aan DORA-normen en aansluit bij de specifieke situatie van jouw organisatie.

Wil je weten of DORA op jouw mkb-bedrijf van toepassing is en hoe je je het beste kunt voorbereiden? Neem contact op voor een vrijblijvend gesprek over jouw DORA-voorbereiding.