Officieel overheidsdocument met reliëfzegel op mahonie bureau, koperen hamer ernaast, zachte vensterlicht werpt schaduwen

Wat houdt Dora in?

in

DORA staat voor de Digital Operational Resilience Act, een Europese verordening die financiële instellingen en hun ICT-dienstverleners verplicht om hun digitale weerbaarheid te versterken. De wetgeving is sinds 17 januari 2025 van toepassing en richt zich op het beheersen van ICT-risico’s, het melden van incidenten en het testen van operationele veerkracht. In dit artikel beantwoorden we de belangrijkste vragen over DORA en wat dit betekent voor jouw organisatie.

Wat is DORA en waarom is deze wetgeving zo belangrijk?

DORA is een Europese verordening die de digitale operationele weerbaarheid van de financiële sector versterkt. De wetgeving verplicht financiële instellingen en hun ICT-dienstverleners om hun netwerk- en informatiesystemen beter te beveiligen tegen cyberaanvallen en andere verstoringen. DORA maakt deel uit van het EU-pakket voor digitale financiën, dat innovatie stimuleert terwijl risico’s worden beperkt.

De noodzaak voor deze regelgeving is ontstaan door de toenemende digitalisering van financiële diensten en de groeiende afhankelijkheid van ICT-systemen. Cyberaanvallen worden steeds geavanceerder en kunnen grote schade aanrichten aan individuele instellingen én aan de stabiliteit van het financiële systeem als geheel. Een verstoring bij één grote bank of verzekeraar kan immers een kettingreactie veroorzaken.

DORA is primair een governance- en organisatievraagstuk, niet alleen een IT-thema. De verordening vraagt om aantoonbaarheid: hoe laat je zien dat je daadwerkelijk in control bent? Veel organisaties denken DORA wel op orde te hebben, maar worstelen juist met details en het leveren van bewijs voor adequate beheersing.

Voor welke organisaties geldt DORA?

DORA is van toepassing op een breed scala aan financiële instellingen binnen de Europese Unie. Dit omvat banken, verzekeraars, herverzekeraars, beleggingsondernemingen, betalingsinstellingen en elektronische geldinstellingen. Ook beheerders van alternatieve beleggingsfondsen en instellingen voor collectieve belegging in effecten vallen onder de reikwijdte.

Daarnaast geldt DORA voor kritieke derde dienstverleners die ICT-diensten leveren aan financiële instellingen. Denk hierbij aan:

  • Cloudcomputingproviders
  • Softwareleveranciers
  • Datacenters
  • Bedrijven die IT-systemen beheren of data opslaan voor financiële instellingen

DORA raakt vaak organisaties indirect via ketens, moedermaatschappijen of dienstverlening. Dit leidt regelmatig tot twijfel over de exacte scope. Kleinere financiële instellingen kunnen onder bepaalde voorwaarden gebruikmaken van vereenvoudigde vereisten, maar de kernverplichtingen blijven van toepassing. Een nulmeting is een logisch startpunt om vast te stellen of DORA daadwerkelijk op jouw organisatie van toepassing is.

Wat zijn de vijf pijlers van DORA?

DORA rust op vijf kerngebieden die samen een compleet kader vormen voor digitale operationele weerbaarheid. Elke pijler stelt specifieke eisen aan organisaties en vereist concrete maatregelen en documentatie.

1. ICT-risicobeheer
Financiële instellingen zijn verplicht om ICT-incidenten snel op te sporen en te melden bij de toezichthouder. Dit betreft onder andere datalekken en cyberaanvallen. Snelle detectie en rapportage beperken schade en beschermen de reputatie.

3. Testen van digitale operationele weerbaarheid
Strikt beheer van ICT-dienstverleners is essentieel. Organisaties moeten uitbestedingsrisico’s identificeren, monitoren en beheersen. Contractuele afspraken moeten digitale weerbaarheid waarborgen en externe leveranciers moeten voldoen aan gelijkwaardige beveiligingsstandaarden.

5. Informatie-uitwisseling
Actief delen van informatie over cyberdreigingen met andere partijen in de sector helpt om sneller te reageren op nieuwe risico’s en maakt de gehele financiële sector veiliger.

Hoe bereid je jouw organisatie voor op DORA-compliance?

Een gedegen voorbereiding op DORA begint met een grondige analyse van de huidige situatie. Een gap-analyse brengt in kaart waar jouw organisatie staat ten opzichte van de DORA-vereisten en welke verbeteringen nodig zijn. Dit vormt de basis voor een realistische implementatieroadmap.

De volgende stappen helpen bij een effectieve DORA-voorbereiding:

  • Inventariseer alle ICT-dienstverleners en beoordeel welke diensten als kritiek worden beschouwd
  • Ontwikkel een ICT-risicobeheerkader dat aansluit bij de specifieke behoeften van jouw organisatie
  • Documenteer processen en procedures zodat je kunt aantonen dat je in control bent
  • Implementeer incidentrapportageprocessen die voldoen aan de meldingstermijnen
  • Plan regelmatige weerbaarheidstests, waaronder penetratietests door gekwalificeerde partijen
  • Richt de governance in met duidelijke verantwoordelijkheden voor bestuur en secondlinefuncties

Bestuurlijke verantwoordelijkheid en de inrichting van de second line zijn cruciaal. DORA vraagt niet alleen om beleid, maar om aantoonbare naleving. Assurance, bijvoorbeeld via een ISAE 3000-verklaring, kan een manier zijn om deze naleving aantoonbaar te maken richting toezichthouders en ketenpartners.

Welke sancties riskeer je bij niet-naleving van DORA?

Bij niet-naleving van DORA kunnen toezichthouders zoals De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) handhavend optreden. De mogelijke consequenties omvatten administratieve boetes, aanwijzingen om tekortkomingen te herstellen en in ernstige gevallen beperkingen op bedrijfsactiviteiten.

De exacte hoogte van boetes wordt bepaald door nationale wetgeving, maar de Europese verordening schrijft voor dat sancties doeltreffend, evenredig en afschrikwekkend moeten zijn. Naast financiële sancties kan non-compliance leiden tot reputatieschade en verlies van vertrouwen bij klanten en zakenpartners.

Tijdige voorbereiding is daarom essentieel. Organisaties die nu nog niet voldoen aan de vereisten, doen er verstandig aan om direct actie te ondernemen. De toezichthouders verwachten dat organisaties kunnen aantonen welke stappen zij zetten om compliance te bereiken en te behouden.

Hoe helpt Hoek en Blok IT bij DORA-compliance?

Hoek en Blok IT ondersteunt financiële instellingen en hun ketenpartners bij het realiseren van DORA-compliance met een pragmatische en resultaatgerichte aanpak. De NOREA-gecertificeerde EDP-auditors combineren technische expertise met auditervaring om organisaties te helpen bij zowel compliance als praktische veiligheidsverbetering.

De specifieke ondersteuning omvat:

  • Gap-analyses om vast te stellen waar jouw organisatie staat ten opzichte van de DORA-vereisten
  • IT-audits en assurancerapportages, waaronder ISAE 3000-verklaringen voor aantoonbare naleving
  • Penetratietests en securityassessments voor het testen van digitale operationele weerbaarheid
  • Ontwikkeling van ICT-risicobeheerkaders op maat gemaakt voor jouw organisatie
  • IT Security Officer as a Service voor doorlopende ondersteuning bij DORA-compliance
  • Ondersteuning bij incidentrapportage en het melden van datalekken of cyberaanvallen

Wil je weten hoe jouw organisatie ervoor staat op het gebied van DORA-compliance? Neem contact op met Hoek en Blok IT voor een vrijblijvend gesprek over de mogelijkheden voor een nulmeting of gap-analyse.

Wat zijn de security vereisten voor cloud services onder NIS2?Stalen hangslot met krassen beveiligt ketting rond serverrack, compliance-map eronder, blauwe LED-verlichting in datacenterOfficieel juridisch document met lakzegel op mahonie bureau, koperen hamer ernaast, EU-vlag op achtergrondIs de NIS2 verplicht?