Handen van compliance officer onderzoeken regelgevingsdossier met vergrootglas op mahonie bureau, auditchecklists ernaast

Hoe bereid je je voor op een DORA-audit?

in

Een DORA-audit voorbereiden vraagt om een gestructureerde aanpak waarbij je ICT-risicomanagement, incidentenbeheer, weerbaarheidstesten, uitbestedingsrisico’s en informatiedeling aantoonbaar op orde hebt. De Digital Operational Resilience Act (DORA) is sinds 17 januari 2025 van toepassing en toezichthouders als DNB en AFM controleren actief op naleving. Dit artikel beantwoordt de belangrijkste vragen over wat een DORA-audit inhoudt, wie eraan moet voldoen en hoe je je organisatie praktisch voorbereidt.

Wat is een DORA-audit en waarom is deze verplicht?

Een DORA-audit is een onafhankelijke beoordeling van de digitale operationele weerbaarheid van financiële entiteiten en hun kritieke ICT-dienstverleners. De audit toetst of organisaties voldoen aan de vereisten uit de Digital Operational Resilience Act, de EU-verordening die sinds januari 2023 van kracht is, met volledige toepassing vanaf 17 januari 2025.

De wettelijke verplichting vloeit voort uit de noodzaak om de financiële sector beter te beschermen tegen cyberaanvallen en andere verstoringen die financiële diensten kunnen onderbreken. DORA maakt deel uit van het EU-pakket voor digitale financiën, dat innovatie stimuleert terwijl risico’s worden beperkt. Het doel is een uniform beschermingsniveau te creëren binnen de Europese financiële sector.

Toezichthouders zoals De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) houden toezicht op de naleving. Zij kunnen vragen stellen over specifieke onderdelen van de DORA-vereisten en verwachten dat organisaties hun digitale weerbaarheid kunnen aantonen. De volledige DORA-regelgeving blijft van toepassing, ongeacht de specifieke toezichtvragen die worden gesteld.

Welke organisaties moeten zich voorbereiden op een DORA-audit?

DORA is van toepassing op een breed scala aan financiële entiteiten: banken, verzekeraars, herverzekeraars, beleggingsondernemingen, pensioenfondsen, betalingsinstellingen, elektronische geldinstellingen en beheerders van beleggingsfondsen. Daarnaast vallen kritieke ICT-dienstverleners onder de regelgeving, waaronder cloudproviders, softwareleveranciers en datacenters die diensten leveren aan deze financiële instellingen.

De proportionaliteitsbenadering binnen DORA betekent dat de vereisten verschillen per organisatiegrootte en complexiteit. Kleinere organisaties met minder complexe IT-omgevingen hoeven minder uitgebreide maatregelen te treffen dan grote, systeemrelevante instellingen. De kernprincipes blijven echter voor iedereen gelden.

Bestuurders dragen de eindverantwoordelijkheid voor DORA-compliance. Zij moeten het ICT-risicobeheerkader goedkeuren en toezien op de implementatie. Compliance- en riskfuncties spelen een cruciale rol bij het waarborgen van de digitale weerbaarheid en het coördineren van de voorbereidingen. Security officers en IT-verantwoordelijken zijn verantwoordelijk voor de praktische uitvoering van de technische maatregelen.

Wat zijn de belangrijkste pijlers van DORA waar auditors op letten?

Auditors beoordelen vijf kerngebieden tijdens een DORA-audit. Het eerste domein betreft ICT-risicomanagement: auditors controleren of organisaties een gedocumenteerd ICT-risicobeheerkader hebben ingericht om digitale dreigingen te beheersen en klantgegevens te beschermen. Ze verwachten regelmatige ICT-risicobeoordelingen en actuele documentatie over geïdentificeerde risico’s en beheersmaatregelen.

Het tweede domein is ICT-incidentenbeheer en -rapportage. Auditors toetsen of organisaties incidenten snel kunnen detecteren, analyseren en melden bij de toezichthouder. Ze beoordelen de incidentresponsplannen en de procedures voor escalatie en communicatie.

Het derde kerngebied betreft het testen van digitale operationele weerbaarheid. Organisaties moeten periodiek hun weerbaarheid testen, bijvoorbeeld door middel van penetratietesten en scenario-analyses. Auditors vragen naar testrapportages en de opvolging van bevindingen.

Beheer van ICT-uitbestedingsrisico’s vormt het vierde domein. Financiële instellingen moeten strikt beheer voeren over hun ICT-dienstverleners. Auditors controleren contractuele afspraken, het uitbestedingsregister en de monitoring van leveranciersprestaties.

Het vijfde domein is informatie-uitwisseling over cyberdreigingen. Auditors beoordelen of organisaties actief deelnemen aan het delen van dreigingsinformatie om sneller te kunnen reageren op nieuwe risico’s.

Hoe ziet het DORA-auditproces er in de praktijk uit?

Een DORA-audittraject volgt een gestructureerd proces in drie fasen. De eerste fase betreft scopebepaling: samen met de organisatie wordt bepaald welke processen en risico’s worden beoordeeld. Dit gebeurt aan de hand van een normenkader dat aansluit bij de DORA-vereisten.

De tweede fase omvat de daadwerkelijke uitvoering van de audit. Auditors voeren interviews met sleutelfunctionarissen, beoordelen beleidsdocumenten en procedures, en inspecteren uitgevoerde controles en configuraties. Deze aanpak geeft direct inzicht in de effectiviteit van de geïmplementeerde maatregelen.

In de derde fase wordt het rapport besproken. Een helder rapport identificeert de belangrijkste aandachtspunten en aanbevelingen, maar benoemt ook wat de organisatie al goed doet. Dit rapport wordt gezamenlijk doorgenomen om de belangrijkste acties te bepalen voor het bereiken van betere beheersing.

De doorlooptijd van een DORA-audit varieert afhankelijk van de organisatieomvang en de mate waarin documentatie al op orde is. Reken op enkele weken tot maanden voor een volledig traject. Interne auditors kunnen een voorbereidende rol spelen, terwijl externe auditors de onafhankelijke beoordeling uitvoeren.

Welke documenten en bewijsstukken moet je verzamelen voor een DORA-audit?

Een praktisch overzicht van de vereiste documentatie omvat de volgende categorieën:

  • ICT-risicobeleid: het vastgestelde risicobeheerkader met risicoregisters en beoordelingsmethodiek
  • Incidentresponsplannen: procedures voor detectie, escalatie, communicatie en herstel
  • Uitbestedingsregister: overzicht van alle ICT-dienstverleners met contractuele afspraken en risicobeoordelingen
  • Testrapportages: resultaten van penetratietesten, kwetsbaarheidsscans en weerbaarheidstesten
  • Business continuity-plannen: uitwijkprocedures en disasterrecoverydocumentatie
  • Governancedocumentatie: notulen van relevante vergaderingen en goedkeuringen door het bestuur

Zorg dat alle documentatie actueel is en dat er een duidelijke koppeling bestaat tussen beleid en aantoonbare uitvoering. Auditors willen niet alleen zien wat je hebt opgeschreven, maar ook bewijs dat de maatregelen daadwerkelijk worden uitgevoerd. Richt een centraal documentatiesysteem in waar alle bewijsstukken eenvoudig terug te vinden zijn.

Wat zijn veelgemaakte fouten bij de voorbereiding op een DORA-audit?

De meest voorkomende valkuil is te laat beginnen met de voorbereidingen. DORA-compliance vraagt om structurele aanpassingen in processen en systemen die tijd kosten om te implementeren en te documenteren. Organisaties die pas kort voor een audit starten, lopen tegen tijdsdruk aan.

Onvolledige documentatie vormt een tweede veelgemaakte fout. Beleid bestaat wel, maar de uitvoering is niet vastgelegd of de documentatie is verouderd. Auditors verwachten actuele bewijsstukken die de effectiviteit van maatregelen aantonen.

Onderschatting van uitbestedingsrisico’s komt regelmatig voor. Organisaties hebben niet altijd volledig zicht op hun afhankelijkheid van externe ICT-dienstverleners of de contractuele afspraken sluiten niet aan bij DORA-vereisten. Het uitbestedingsregister is onvolledig of ontbreekt.

Gebrek aan testbewijzen is een vierde valkuil. Weerbaarheidstesten worden niet of onregelmatig uitgevoerd, of de resultaten en opvolging zijn niet gedocumenteerd. Auditors verwachten periodieke testrapportages en bewijs dat bevindingen worden opgepakt.

Onvoldoende betrokkenheid van het bestuur ondermijnt de DORA-compliance. Bestuurders moeten het ICT-risicobeheerkader goedkeuren en actief toezicht houden. Zonder aantoonbare bestuurlijke betrokkenheid ontbreekt een essentieel element.

Hoe helpt Hoek en Blok IT bij de voorbereiding op een DORA-audit?

Hoek en Blok IT ondersteunt organisaties bij elke stap van de DORA-voorbereiding met een pragmatische, resultaatgerichte aanpak. De NOREA-gecertificeerde EDP-auditors combineren technische expertise met ruime auditervaring in de financiële sector.

Concrete dienstverlening omvat:

  • Gap-analyses: bepalen welke risico’s of maatregelen nog nodig zijn om voldoende digitale weerbaarheid te bereiken
  • Ondersteuning bij documentatie: ontwikkelen van een op maat gemaakt ICT-risicobeheerkader dat voldoet aan DORA-normen
  • Penetratietesten conform DORA-vereisten: technische assessments om de digitale weerbaarheid te toetsen
  • IT Security Officer as a Service: periodieke ondersteuning bij alle aspecten van digitale weerbaarheid
  • Begeleiding bij audits: voorbereiding op en ondersteuning tijdens DORA-audits en toezichtinteracties
  • Monitoringstructuren: inrichten van periodieke controles op de effectiviteit van maatregelen

De aanpak richt zich op het efficiënt voldoen aan DORA-vereisten, zonder onnodige administratieve lasten. Neem contact op voor een vrijblijvend adviesgesprek over de DORA-voorbereiding van jouw organisatie.

Wat als je niet voldoet aan NIS2?Stapel afgewezen compliance-documenten met rode stempels op verlaten bureau, verwelkende plant, dramatische schaduw door jaloezieënStalen hangslot met krassen beveiligt ketting rond serverrack, compliance-map eronder, blauwe LED-verlichting in datacenterWat zijn de security vereisten voor cloud services onder NIS2?