EU-regelgevingsdocument met gouden zegel en rode lakstempel op gepolijste mahonie vergadertafel met leesbril

Voor wie geldt DORA?

in

DORA geldt voor een breed scala aan organisaties in en rond de financiële sector. De Digital Operational Resilience Act is van toepassing op banken, verzekeraars, beleggingsondernemingen, pensioenfondsen, betaalinstellingen en cryptodienstverleners. Daarnaast vallen kritieke ICT-dienstverleners die diensten leveren aan deze financiële instellingen ook onder de verordening. Hieronder beantwoorden we de meest gestelde vragen over het toepassingsgebied en de verplichtingen van DORA.

Wat is DORA en waarom is deze wetgeving ingevoerd?

DORA is een Europese verordening die de digitale operationele weerbaarheid van de financiële sector versterkt. De wetgeving verplicht financiële instellingen en hun ICT-dienstverleners om de beveiliging van netwerk- en informatiesystemen te verbeteren. DORA beschermt tegen cyberaanvallen en andere verstoringen die financiële diensten kunnen onderbreken.

De aanleiding voor DORA ligt in de toenemende afhankelijkheid van ICT-systemen binnen de financiële sector. Banken, verzekeraars en andere financiële instellingen kunnen zonder goed functionerende IT-infrastructuur simpelweg niet opereren. Een cyberaanval of systeemuitval bij één grote instelling kan een domino-effect veroorzaken dat de financiële stabiliteit van heel Europa bedreigt.

DORA maakt deel uit van het EU-pakket voor digitale financiën, dat innovatie en concurrentie stimuleert terwijl risico’s worden beperkt. De verordening creëert een uniform regelgevingskader in de EU, wat versnippering en dubbele regels vermindert door heldere, uniforme eisen in heel Europa te stellen.

Welke financiële instellingen vallen onder de DORA-verordening?

DORA is van toepassing op vrijwel alle financiële entiteiten die onder EU-regelgeving vallen. Dit omvat banken, beleggingsondernemingen, betaalinstellingen, elektronischgeldinstellingen, verzekeraars, herverzekeraars, beheerders van alternatieve beleggingsfondsen en instellingen voor collectieve belegging in effecten.

De volgende categorieën financiële ondernemingen vallen onder het toepassingsbereik:

  • Kredietinstellingen (banken)
  • Beleggingsondernemingen en vermogensbeheerders
  • Verzekeraars en herverzekeraars
  • Pensioenfondsen en pensioenuitvoeringsorganisaties
  • Betaalinstellingen en elektronischgeldinstellingen
  • Cryptodienstverleners
  • Centrale effectenbewaarinstellingen
  • Handelsplatformen en centrale tegenpartijen

De brede reikwijdte van DORA weerspiegelt de onderlinge verbondenheid van de financiële sector. Elke instelling binnen dit ecosysteem moet een passend ICT-risicobeheerkader opzetten en de naleving van DORA-vereisten aantonen.

Vallen ICT-dienstverleners ook onder DORA?

Ja, DORA is ook van toepassing op kritieke derde dienstverleners die ICT-diensten leveren aan financiële instellingen. Dit omvat bedrijven die IT-systemen beheren, software ontwikkelen of data opslaan voor de financiële sector. Specifiek vallen hieronder cloud computing providers, softwareleveranciers en datacentra.

De wetgeving erkent dat financiële instellingen vaak afhankelijk zijn van externe ICT-dienstverleners. Digitale operationele weerbaarheid hangt niet alleen af van interne maatregelen, maar ook van de veiligheid en betrouwbaarheid van de gehele ICT-toeleveringsketen.

Kritieke ICT-dienstverleners krijgen te maken met direct toezicht door Europese toezichthouders. Dit betekent dat zij hun beveiligingsmaatregelen en operationele processen moeten aanpassen om aan DORA-eisen te voldoen. De aanwijzing als kritieke dienstverlener gebeurt op basis van criteria zoals de mate waarin financiële instellingen afhankelijk zijn van de geleverde diensten.

Wat zijn de belangrijkste DORA-verplichtingen voor organisaties?

DORA rust op vijf pijlers die samen de digitale operationele weerbaarheid waarborgen. Elke pijler stelt specifieke eisen aan de inrichting van processen, systemen en governance binnen organisaties.

ICT-risicobeheer vormt de basis van DORA. Organisaties moeten een ICT-risicobeheerkader inrichten om digitale dreigingen te beheersen en klantgegevens te beschermen. Dit omvat regelmatige ICT-risicobeoordelingen om systemen en data veilig te houden.

ICT-gerelateerde incidentenrapportage vereist snelle opsporing en melding van ICT-incidenten. Denk aan datalekken of cyberaanvallen die gemeld moeten worden bij de toezichthouder. Dit helpt schade te beperken en de reputatie te behouden.

Testen van digitale operationele weerbaarheid betekent dat organisaties regelmatig hun digitale weerbaarheid moeten testen. Voor grotere instellingen geldt de verplichting tot threat-led penetration testing (TLPT), uitgevoerd door gekwalificeerde ethical hackers.

Beheer van ICT-risico’s bij derden behelst strikt beheer van ICT-dienstverleners. Contractuele afspraken moeten digitale weerbaarheid waarborgen en externe leveranciers moeten voldoen aan gelijke beveiligingsstandaarden.

Informatie-uitwisseling vereist het actief delen van cyberdreigingsinformatie om sneller te reageren op nieuwe risico’s en de sector veiliger te maken.

Wanneer moet mijn organisatie DORA-compliant zijn?

DORA is sinds januari 2023 van kracht, maar organisaties hadden tot 17 januari 2025 de tijd om volledig te voldoen aan alle vereisten. Deze datum markeert het moment waarop de verordening volledig van toepassing is en toezichthouders actief kunnen handhaven.

De voorbereidingsfase van twee jaar was bedoeld om organisaties voldoende tijd te geven voor implementatie. Dit omvatte het opzetten van ICT-risicobeheerkaders, het aanpassen van contracten met ICT-dienstverleners en het inrichten van incidentrapportageprocessen.

Organisaties die nu nog niet volledig compliant zijn, doen er verstandig aan om direct een nulmeting uit te voeren. Zo wordt duidelijk welke gaps er nog bestaan en welke acties prioriteit hebben. DORA vraagt om aantoonbaarheid, niet alleen om beleid. De vraag is dus: hoe laat je zien dat je in control bent?

Wat gebeurt er als mijn organisatie niet voldoet aan DORA?

Niet-naleving van DORA kan leiden tot aanzienlijke sancties. Nationale toezichthouders, zoals De Nederlandsche Bank en de Autoriteit Financiële Markten, hebben de bevoegdheid om boetes op te leggen en corrigerende maatregelen te eisen.

De consequenties van niet-naleving omvatten:

  • Administratieve boetes die kunnen oplopen tot aanzienlijke bedragen
  • Publieke waarschuwingen die reputatieschade veroorzaken
  • Beperkingen op bepaalde bedrijfsactiviteiten
  • Verplichte herstelmaatregelen onder toezicht

Naast formele sancties speelt reputatierisico een belangrijke rol. Klanten en zakenpartners verwachten dat financiële instellingen hun digitale weerbaarheid op orde hebben. Een publieke aanwijzing van non-compliance kan het vertrouwen ernstig schaden.

DORA raakt organisaties vaak indirect via ketens, moedermaatschappijen of dienstverlening. Dit kan leiden tot twijfel over de scope, maar de boodschap is helder: bestuurlijke verantwoordelijkheid en de inrichting van de second line zijn cruciaal.

Hoe helpt Hoek en Blok IT bij DORA-compliance?

Hoek en Blok IT ondersteunt organisaties bij elke stap van DORA-implementatie en het aantoonbaar maken van compliance. Met NOREA-gecertificeerde EDP-auditors en ethical-hackingexpertise bieden wij een pragmatische aanpak die past bij middelgrote organisaties.

Onze dienstverlening omvat:

  • DORA-nulmeting: vaststellen of DORA daadwerkelijk is geïmplementeerd en waar gaps bestaan
  • ICT-risicobeheerkader: ontwikkelen van een op maat gemaakt framework conform DORA-normen
  • Penetratietests en security assessments: testen van digitale weerbaarheid door ethical hackers
  • IT Security Officer as a Service: continue ondersteuning bij ICT-risicobeheer en compliance
  • ISAE 3000-verklaringen: assurance om naleving aantoonbaar te maken richting toezichthouders en ketenpartners

Wilt u weten hoe uw organisatie ervoor staat op het gebied van DORA-compliance? Neem contact op met Hoek en Blok IT voor een vrijblijvend gesprek over de mogelijkheden.