Formele hand houdt koperen vergrootglas boven open compliance-map met documenten op mahonie bureau

Hoe handhaaft de toezichthouder DORA?

in

De toezichthouder handhaaft DORA via een gelaagd systeem van controles, inspecties en sancties. In Nederland zijn De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) verantwoordelijk voor het toezicht op naleving van de Digital Operational Resilience Act. Bij overtredingen kunnen zij formele waarschuwingen geven, aanwijzingen opleggen, dwangsommen vorderen of boetes opleggen. Dit artikel beantwoordt de belangrijkste vragen over DORA-handhaving en hoe jouw organisatie zich hierop kan voorbereiden.

Welke toezichthouders zijn verantwoordelijk voor DORA-handhaving in Nederland?

In Nederland zijn DNB en de AFM de primaire toezichthouders voor DORA-handhaving. DNB houdt toezicht op banken, verzekeraars, pensioenfondsen en betalingsinstellingen. De AFM richt zich op beleggingsondernemingen, beheerders van beleggingsfondsen en andere marktpartijen. Deze verdeling volgt de bestaande toezichtstructuur binnen de financiële sector.

Beide toezichthouders werken nauw samen met de Europese toezichthoudende autoriteiten (ESA’s). Dit zijn de European Banking Authority (EBA) voor banken, de European Insurance and Occupational Pensions Authority (EIOPA) voor verzekeraars en pensioenfondsen, en de European Securities and Markets Authority (ESMA) voor effectenmarkten. Deze Europese instanties ontwikkelen technische standaarden en zorgen voor uniforme toepassing van DORA binnen de hele EU.

De samenwerking tussen nationale en Europese toezichthouders waarborgt een gelijk speelveld. Kritieke derde dienstverleners die IT-diensten leveren aan financiële instellingen, zoals cloudproviders en softwareleveranciers, vallen onder direct Europees toezicht van de ESA’s.

Welke handhavingsinstrumenten heeft de toezichthouder onder DORA?

Toezichthouders beschikken over een breed scala aan handhavingsinstrumenten die zij kunnen inzetten bij DORA-overtredingen. De instrumenten variëren van lichte maatregelen zoals informele gesprekken tot zware sancties zoals het intrekken van vergunningen. De keuze voor een specifiek instrument hangt af van de ernst en duur van de overtreding.

De escalatieladder van handhavingsinstrumenten ziet er als volgt uit:

  • Informele waarschuwingen: gesprekken en brieven om aandacht te vestigen op tekortkomingen
  • Formele aanwijzingen: bindende instructies om specifieke maatregelen te treffen binnen een gestelde termijn
  • Last onder dwangsom: financiële druk om naleving af te dwingen, waarbij dagelijks bedragen oplopen
  • Bestuurlijke boetes: directe financiële sancties voor geconstateerde overtredingen
  • Intrekking van vergunningen: ultieme maatregel bij ernstige of herhaalde overtredingen

Toezichthouders passen het proportionaliteitsbeginsel toe. Bij een eerste, minder ernstige overtreding volgt meestal een waarschuwing met de mogelijkheid tot herstel. Herhaalde of ernstige overtredingen leiden sneller tot zwaardere maatregelen.

Hoe hoog kunnen DORA-boetes oplopen?

DORA-boetes kunnen aanzienlijk oplopen, afhankelijk van de aard en ernst van de overtreding. Het Europese boetekader biedt lidstaten ruimte om maximale boetebedragen vast te stellen die in verhouding staan tot de omvang van de organisatie en de impact van de overtreding. Voor rechtspersonen kunnen boetes oplopen tot miljoenen euro’s.

Factoren die de hoogte van boetes beïnvloeden zijn onder andere:

  • De ernst van de overtreding en de potentiële schade voor klanten of het financiële systeem
  • De duur van de overtreding en het tempo van herstelmaatregelen
  • De omvang en financiële draagkracht van de organisatie
  • De mate van verwijtbaarheid en eventuele recidive
  • De medewerking tijdens het onderzoek en de bereidheid tot verbetering

Het DORA-boetekader is vergelijkbaar met dat van de AVG/GDPR, waar boetes kunnen oplopen tot een percentage van de jaaromzet. Deze afstemming zorgt voor consistentie binnen het bredere Europese cyberveiligheidskader, waaronder ook NIS2 valt.

Hoe verloopt een DORA-inspectie door de toezichthouder?

Een DORA-inspectie verloopt doorgaans in verschillende fasen. De toezichthouder kondigt het onderzoek meestal vooraf aan, al zijn onaangekondigde inspecties bij vermoedens van ernstige overtredingen mogelijk. Na de aankondiging volgt een documentatieverzoek waarin de organisatie relevante stukken moet aanleveren.

Het inspectieproces omvat de volgende stappen:

  • Documentatiereview: analyse van beleidsdocumenten, procedures, risicobeoordelingen en incidentrapportages
  • On-site bezoeken: fysieke controles van systemen, processen en beveiligingsmaatregelen
  • Interviews: gesprekken met sleutelpersoneel zoals de IT-verantwoordelijke, security officer en bestuurders
  • Technische audits: beoordeling van ICT-systemen, testresultaten en weerbaarheidstesten
  • Rapportage: schriftelijke bevindingen met eventuele aanbevelingen of handhavingsmaatregelen

Organisaties kunnen zich voorbereiden door alle DORA-gerelateerde documentatie actueel en toegankelijk te houden. Zorg dat verantwoordelijke medewerkers beschikbaar zijn voor interviews en dat technische systemen en testresultaten inzichtelijk zijn. Een goede voorbereiding verkort de inspectieduur en vermindert de kans op misverstanden.

Wat zijn de meest voorkomende DORA-overtredingen waar toezichthouders op letten?

Toezichthouders richten zich bij DORA-controles op specifieke risicogebieden waar organisaties vaak tekortkomingen vertonen. Onvoldoende ICT-risicobeheer staat bovenaan de lijst. Dit omvat het ontbreken van een gedocumenteerd risicobeheerkader, onvolledige risicobeoordelingen of verouderde dreigingsanalyses.

Andere veelvoorkomende overtredingen zijn:

  • Gebrekkige incidentrapportage: te late melding van IT-incidenten, onvolledige registratie of ontbrekende procedures voor snelle opsporing
  • Ontbrekende testprogramma’s: geen regelmatige veerkrachttesten, onvoldoende penetratietests of gebrek aan documentatie van testresultaten
  • Ontoereikend derdenbeheer: onvoldoende beoordeling van uitbestedingsrisico’s, ontbrekende contractuele afspraken over digitale weerbaarheid of gebrekkig toezicht op IT-dienstverleners
  • Governance-tekortkomingen: onduidelijke verantwoordelijkheden en onvoldoende betrokkenheid van het bestuur bij ICT-risicobeheer

Organisaties die afhankelijk zijn van externe IT-dienstverleners, zoals cloudproviders, moeten extra aandacht besteden aan derdenbeheer. DORA vereist dat externe leveranciers voldoen aan dezelfde beveiligingsstandaarden als de financiële instelling zelf.

Hoe kunnen organisaties een handhavingsprocedure voorkomen?

Proactieve compliance is de beste strategie om handhavingsmaatregelen te voorkomen. Dit begint met het opzetten van een robuust ICT-risicobeheerkader dat voldoet aan DORA-normen en aansluit bij de specifieke situatie van jouw organisatie. Regelmatige risicobeoordelingen en actualisatie van dreigingsanalyses zijn hierbij essentieel.

Concrete stappen voor proactieve compliance:

  • Implementeer duidelijke incidentmeldingsprocedures met heldere escalatiepaden en tijdslijnen
  • Voer regelmatig zelfevaluaties en gap-analyses uit om tekortkomingen vroegtijdig te identificeren
  • Documenteer alle DORA-gerelateerde processen, beslissingen en testresultaten zorgvuldig
  • Zorg voor regelmatige veerkrachttesten, inclusief penetratietests en scenario-oefeningen
  • Onderhoud constructieve relaties met toezichthouders door transparante communicatie

Een open houding richting toezichthouders werkt in je voordeel. Organisaties die proactief tekortkomingen melden en verbeterplannen presenteren, worden doorgaans milder behandeld dan organisaties die pas na inspectie in actie komen.

Hoe helpt Hoek en Blok IT bij DORA-handhaving en compliance?

Hoek en Blok IT ondersteunt financiële instellingen en IT-dienstverleners bij het realiseren van DORA-compliance en het voorkomen van handhavingsmaatregelen. Met NOREA-gecertificeerde IT-auditors en meer dan 30 jaar praktijkervaring in de financiële sector bieden wij pragmatische ondersteuning die aansluit bij jouw organisatiecontext.

Onze DORA-dienstverlening omvat:

  • DORA-gap-analyses: bepalen welke risico’s of maatregelen nog nodig zijn voor voldoende digitale weerbaarheid
  • Ondersteuning bij incidentrapportage: inrichten van procedures voor snelle opsporing en melding van IT-incidenten
  • Penetratietests conform DORA-vereisten: regelmatige veerkrachttesten door ethical hackers
  • IT Security Officer as-a-Service: continue ondersteuning bij ICT-risicobeheer en compliance-monitoring
  • DORA-audits: beoordeling van compliance met alle regelgevingsvereisten

Neem contact op voor een vrijblijvend adviesgesprek over jouw DORA-compliance en ontdek hoe wij jouw organisatie kunnen helpen bij het voorkomen van handhavingsmaatregelen.