Vergrootglas boven financiële documenten en compliance-mappen op mahonie bureau, met focus op kleine lettertjes en officieel zegel.

Hoe controleert DNB naleving van DORA?

in

De Nederlandsche Bank (DNB) controleert de naleving van DORA door een combinatie van periodieke rapportages, on-site inspecties en thematische onderzoeken. Als aangewezen toezichthouder voor de financiële sector in Nederland hanteert DNB een risicogebaseerde aanpak, waarbij organisaties met hogere ICT-risico’s intensiever worden gecontroleerd. Dit artikel beantwoordt de belangrijkste vragen over de toezichtmethoden van DNB, de rapportageverplichtingen en de mogelijke sancties.

Wat is de rol van DNB bij het toezicht op DORA?

DNB is aangewezen als de bevoegde toezichthouder voor DORA in Nederland. Dit betekent dat DNB verantwoordelijk is voor het controleren of financiële instellingen voldoen aan de vereisten voor digitale operationele weerbaarheid. De wettelijke basis hiervoor ligt in de Europese DORA-verordening, die sinds januari 2023 van kracht is en per 17 januari 2025 volledig van toepassing is.

DNB werkt nauw samen met de Europese toezichthouders, de zogenaamde ESA’s: de European Banking Authority (EBA), de European Insurance and Occupational Pensions Authority (EIOPA) en de European Securities and Markets Authority (ESMA). Deze samenwerking zorgt voor een uniform toezichtskader binnen de gehele Europese Unie en voorkomt dat organisaties met tegenstrijdige eisen worden geconfronteerd.

De reikwijdte van de toezichtbevoegdheden van DNB omvat alle financiële instellingen die onder DORA vallen, waaronder:

  • Banken en kredietinstellingen
  • Verzekeraars en herverzekeraars
  • Beleggingsondernemingen en fondsbeheerders
  • Betaalinstellingen en elektronische geldinstellingen
  • Pensioenfondsen

DNB integreert specifieke toezichtsvragen voor zowel Bank LSI-entiteiten (Less Significant Institutions) als pensioen- en verzekeringsorganisaties in haar toezichtaanpak. Deze vragen geven inzicht in de prioriteiten van de toezichthouder, maar de volledige DORA-verordening blijft onverkort van toepassing.

Welke toezichtmethoden gebruikt DNB om DORA-naleving te controleren?

DNB zet verschillende concrete toezichtinstrumenten in om de naleving van DORA te controleren. De toezichthouder hanteert een risicogebaseerde aanpak, waarbij de intensiteit van het toezicht afhangt van de omvang, complexiteit en het risicoprofiel van de organisatie. Grotere instellingen met meer kritieke ICT-systemen krijgen intensiever toezicht.

De belangrijkste toezichtmethoden zijn:

  • Periodieke rapportages en self-assessments: Organisaties moeten regelmatig aantonen hoe zij hun ICT-risico’s beheersen en welke maatregelen zij hebben getroffen.
  • On-site inspecties en audits: DNB voert fysieke controles uit bij instellingen om de daadwerkelijke implementatie van DORA-vereisten te beoordelen.
  • Thematische onderzoeken: Gerichte onderzoeken naar specifieke DORA-onderdelen, zoals derdenbeheer of incidentmanagement, over meerdere instellingen heen.
  • Doorlopend toezicht: Continue monitoring van het ICT-risicobeheer en binnengekomen incidentmeldingen.

Bij thematische onderzoeken kijkt DNB naar hoe de sector als geheel presteert op bepaalde DORA-onderdelen. Dit kan leiden tot sectorspecifieke aanbevelingen of aangescherpte verwachtingen. De toezichtsvragen van DNB kunnen in de loop der tijd wijzigen, afhankelijk van actuele risico’s en ontwikkelingen in de sector.

Wat moet je rapporteren aan DNB onder DORA?

Onder DORA gelden verschillende verplichte rapportages aan DNB. Deze rapportages vormen een belangrijk onderdeel van het toezicht en stellen DNB in staat om de digitale weerbaarheid van de financiële sector te monitoren. De belangrijkste rapportageverplichtingen zijn:

ICT-incidentmeldingen: Bij ernstige ICT-gerelateerde verstoringen, zoals datalekken of cyberaanvallen, moet je dit binnen vastgestelde termijnen melden aan DNB. DORA vereist snelle opsporing en melding van incidenten om schade te beperken. De exacte termijnen en formats worden bepaald door de technische standaarden die de ESA’s hebben ontwikkeld.

Registers van uitbestedingscontracten: Je moet een actueel overzicht bijhouden van alle contracten met ICT-dienstverleners. Dit register bevat informatie over kritieke en belangrijke functies die zijn uitbesteed, de risico’s die hieraan verbonden zijn en de contractuele afspraken die de digitale weerbaarheid waarborgen.

Resultaten van penetratietests: Voor instellingen die verplicht zijn tot Threat-Led Penetration Testing (TLPT) moeten de resultaten worden gerapporteerd aan DNB. Deze geavanceerde tests simuleren realistische cyberaanvallen om de weerbaarheid van kritieke systemen te toetsen.

Updates over het ICT-risicobeheerframework: Periodiek moet je DNB informeren over de inrichting en werking van je ICT-risicobeheerkader. Dit omvat regelmatige risicobeoordelingen en de effectiviteit van de getroffen maatregelen.

Welke sancties kan DNB opleggen bij niet-naleving van DORA?

DNB beschikt over een uitgebreid handhavingsinstrumentarium om de naleving van DORA af te dwingen. De toezichthouder past het proportionaliteitsbeginsel toe, wat betekent dat de zwaarte van de sanctie in verhouding staat tot de ernst van de overtreding.

Het handhavingsinstrumentarium omvat:

  • Waarschuwingen en aanwijzingen: Bij minder ernstige tekortkomingen kan DNB een formele waarschuwing geven of een aanwijzing om specifieke maatregelen te treffen.
  • Bestuurlijke boetes: Bij overtredingen kan DNB financiële sancties opleggen, waarbij de hoogte afhangt van de ernst en duur van de overtreding.
  • Dwangsommen: Om naleving af te dwingen kan DNB een dwangsom opleggen per dag dat een overtreding voortduurt.
  • Publicatie van overtredingen: DNB kan besluiten om overtredingen openbaar te maken, wat reputatieschade kan veroorzaken.
  • Intrekking van vergunningen: Bij ernstige en structurele tekortkomingen kan DNB als ultiem middel de vergunning intrekken.

De proportionaliteit van sancties houdt rekening met factoren zoals de omvang van de instelling, de mate van verwijtbaarheid en eventuele eerdere overtredingen. Een proactieve houding en goede samenwerking met de toezichthouder kunnen de impact van handhavingsmaatregelen beperken.

Hoe bereid je je organisatie voor op een DNB DORA-controle?

Een gedegen voorbereiding op een DNB DORA-controle begint met het structureel op orde brengen van je digitale operationele weerbaarheid. De volgende praktische stappen helpen je organisatie om controlegereed te zijn:

Voer een gap-analyse uit: Breng in kaart waar je organisatie staat ten opzichte van de DORA-vereisten. Identificeer welke risico’s nog bestaan of welke maatregelen nog nodig zijn om voldoende digitale weerbaarheid te bereiken. Een grondige analyse van IT-risico’s en kansen vormt hierbij het startpunt.

Breng documentatie en beleid op orde: Zorg dat je ICT-beleid, procedures en risicobeoordelingen actueel en volledig gedocumenteerd zijn. DNB verwacht dat je kunt aantonen hoe je digitale dreigingen beheerst en klantgegevens beschermt.

Richt interne audit- en testprogramma’s in: Stel een programma op voor regelmatige veerkrachttesten en interne audits. Dit toont aan dat je organisatie continu werkt aan de verbetering van de digitale weerbaarheid.

Leg verantwoordelijkheden en governance helder vast: Maak duidelijk wie binnen de organisatie verantwoordelijk is voor welke DORA-onderdelen. Het bestuur draagt de eindverantwoordelijkheid voor de naleving.

Zorg voor audit trails en bewijsvoering: Documenteer alle compliance-inspanningen zodat je bij een controle kunt aantonen welke maatregelen zijn getroffen en hoe effectief deze zijn.

Hoe helpt Hoek en Blok IT bij DORA-toezicht en compliance?

Hoek en Blok IT ondersteunt organisaties bij het voorbereiden op en voldoen aan DORA-vereisten met een pragmatische en betaalbare aanpak. Met meer dan 30 jaar praktijkervaring in de financiële sector en bij IT-dienstverleners bieden NOREA-gecertificeerde EDP-auditors diepgaande kennis van sectorvereisten.

De concrete dienstverlening omvat:

  • Gap-analyses en readiness assessments: Bepaal welke risico’s nog bestaan of welke maatregelen nog nodig zijn om voldoende digitale weerbaarheid te bereiken.
  • Penetratietests en TLPT-ondersteuning: Uitvoering van verplichte ethische hacktests door ervaren specialisten.
  • Opzetten van ICT-risicobeheerframeworks: Ontwikkeling van een op maat gemaakt kader dat voldoet aan DORA-normen.
  • Hulp bij rapportageverplichtingen: Ondersteuning bij het correct en tijdig voldoen aan meldingsverplichtingen.
  • IT Security Officer as a Service: Doorlopende compliance-ondersteuning zonder fulltime aanstelling.
  • DORA-audits: Beoordeling van de naleving van regelgevende vereisten en monitoring van de effectiviteit van maatregelen.

Wil je weten hoe jouw organisatie ervoor staat op het gebied van DORA-compliance? Neem contact op met Hoek en Blok IT voor een vrijblijvend gesprek over de mogelijkheden.

Hoe voer je een NIS2 risicoanalyse uit?Professionele handen onderzoeken risicobeoordelingsdocumenten met vergrootglas op modern bureau, EU-vlagkleuren in presse-papierVerweerd koperen hangslot op bedrijfsdocumenten en organogrammen, EU-vlag op achtergrond, symboliseert gegevensbeschermingWelke organisaties vallen onder NIS2?