Vintage zandloper met bijna leeg donker zand op bureau naast regelgevende documenten en bureauklok op 11:55

Wat is de deadline voor DORA-compliance?

in

De deadline voor DORA-compliance is 17 januari 2025. Vanaf deze datum moeten alle financiële entiteiten en kritieke ICT-dienstverleners volledig voldoen aan de Digital Operational Resilience Act. Dit betekent dat organisaties niet alleen maatregelen moeten hebben geïmplementeerd, maar ook moeten kunnen aantonen dat deze effectief werken. In dit artikel beantwoorden we de belangrijkste vragen over de DORA-deadline en wat dit betekent voor jouw organisatie.

Wat is de officiële deadline voor DORA-compliance?

De officiële deadline voor DORA-compliance is 17 januari 2025. Vanaf deze datum moeten financiële instellingen en hun kritieke ICT-dienstverleners aantoonbaar voldoen aan alle vereisten van de Digital Operational Resilience Act. Het is belangrijk om het verschil te begrijpen tussen de inwerkingtreding en de toepassingsdatum van deze Europese verordening.

DORA is op 16 januari 2023 in werking getreden. Dit markeerde het startpunt van een overgangsperiode van twee jaar waarin organisaties zich konden voorbereiden op volledige compliance. De toepassingsdatum van 17 januari 2025 betekent dat toezichthouders vanaf dat moment actief kunnen handhaven en organisaties moeten kunnen aantonen dat zij digitaal weerbaar zijn.

Anders dan bij sommige andere regelgeving is er geen uitstel of gefaseerde invoering. Alle DORA-vereisten gelden gelijktijdig vanaf de deadline. Organisaties moeten dus niet alleen maatregelen hebben geïmplementeerd, maar ook kunnen bewijzen dat deze maatregelen in de praktijk effectief werken.

Voor welke organisaties geldt de DORA-deadline?

DORA geldt voor een breed scala aan financiële entiteiten binnen de Europese Unie. Dit omvat banken, verzekeraars, beleggingsondernemingen, pensioenfondsen, crypto-activadienstverleners en betalingsinstellingen. Daarnaast vallen kritieke ICT-dienstverleners die diensten leveren aan deze financiële sector onder de reikwijdte van DORA.

De wetgeving erkent dat financiële instellingen vaak afhankelijk zijn van externe IT-dienstverleners. Daarom moeten ook cloudcomputingproviders, softwareleveranciers en datacenters die kritieke diensten leveren aan de financiële sector voldoen aan DORA-vereisten. Dit betekent dat de impact van DORA veel verder reikt dan alleen traditionele financiële instellingen.

Specifiek vallen onder DORA:

  • Kredietinstellingen en banken (inclusief Less Significant Institutions)
  • Verzekeraars en herverzekeraars
  • Beleggingsondernemingen en vermogensbeheerders
  • Pensioenfondsen en pensioenuitvoeringsorganisaties
  • Crypto-activadienstverleners
  • Betalingsinstellingen en elektronischgeldinstellingen
  • Kritieke ICT-dienstverleners aan bovengenoemde entiteiten

Wat moet er geregeld zijn vóór de DORA-deadline?

Vóór de DORA-deadline moeten organisaties vijf kernpijlers hebben geïmplementeerd: ICT-risicobeheer, ICT-incidentenbeheer en rapportage, digitale operationele weerbaarheidstests, beheer van ICT-risico’s bij derden en informatie-uitwisseling. Elke pijler vereist specifieke maatregelen en documentatie.

ICT-risicobeheer vereist het inrichten van een risicobeheerkader om digitale dreigingen te beheersen en klantgegevens te beschermen. Dit omvat regelmatige risicobeoordelingen om systemen en data veilig te houden.

ICT-incidentenbeheer vereist snelle opsporing en melding van IT-incidenten om schade te beperken. Organisaties moeten processen hebben voor het detecteren, classificeren en rapporteren van significante incidenten aan toezichthouders.

Digitale weerbaarheidstests moeten regelmatig worden uitgevoerd om te voldoen aan toezichthouder- en klanteisen. Voor grotere instellingen geldt de verplichting tot Threat-Led Penetration Testing (TLPT).

Derdenbeheer behelst strikt beheer van IT-dienstverleners om continuïteit en veiligheid te waarborgen. Contractuele afspraken moeten digitale weerbaarheid garanderen.

Informatie-uitwisseling vereist het actief delen van cyberdreigingsinformatie om sneller te kunnen reageren op nieuwe risico’s.

Wat zijn de gevolgen als je de DORA-deadline mist?

Het missen van de DORA-deadline kan leiden tot handhavingsmaatregelen door toezichthouders zoals De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM). Deze instanties hebben de bevoegdheid om sancties op te leggen, waaronder substantiële boetes en verhoogd toezicht op de bedrijfsvoering.

Naast directe sancties brengt non-compliance ook indirecte risico’s met zich mee. Organisaties die niet kunnen aantonen digitaal weerbaar te zijn, lopen een verhoogd risico op onaangename verrassingen tijdens toekomstige toezichtsinspecties. Reputatieschade bij klanten, partners en stakeholders kan langdurige gevolgen hebben voor de marktpositie.

Daarnaast kan non-compliance leiden tot:

  • Verhoogde frequentie van toezichtsinspecties
  • Verplichte verbetertrajecten onder toezicht
  • Beperkingen op bepaalde bedrijfsactiviteiten
  • Verlies van vertrouwen bij zakelijke partners en klanten
  • Hogere kosten voor een latere compliance-inhaalslag

Hoe begin je met DORA-compliance als de deadline nadert?

Begin met een gap-analyse om te bepalen waar jouw organisatie staat ten opzichte van de DORA-vereisten. Een baseline assessment helpt bij het identificeren van hiaten en het vaststellen van een solide basis voor structurele digitale weerbaarheid. Gebruik hierbij een maturitymodel om de huidige status van controls te beoordelen.

Het DNB Good Practices-framework voor informatiebeveiliging biedt een praktisch referentiekader. Level 3 (Defined) wordt beschouwd als het minimale niveau voor aantoonbare DORA-compliance, waarbij de opzet van beheersmaatregelen gedocumenteerd en op een gestructureerde wijze geïmplementeerd is.

Praktische stappen voor een snelle start:

  • Voer een gap-analyse uit tegen de vijf DORA-pijlers
  • Prioriteer de grootste risico’s en compliance-hiaten
  • Stel een realistisch implementatieplan op met duidelijke mijlpalen
  • Zorg voor intern draagvlak bij bestuur en management
  • Wijs voldoende budget en resources toe
  • Identificeer welke externe expertise nodig is

Betrek vanaf het begin het bestuur bij het DORA-traject. Zij dragen de eindverantwoordelijkheid voor compliance en moeten geïnformeerde beslissingen kunnen nemen over prioriteiten en investeringen.

Welke DORA-vereisten hebben de langste doorlooptijd?

Threat-Led Penetration Testing (TLPT), contractaanpassingen met ICT-leveranciers en het opzetten van een robuust incidentmeldingsproces zijn de meest tijdrovende DORA-onderdelen. Deze activiteiten verdienen directe prioriteit, gezien de benodigde doorlooptijd en de afhankelijkheden van externe partijen.

TLPT vereist gespecialiseerde expertise en moet worden uitgevoerd volgens strikte protocollen. Het plannen, uitvoeren en rapporteren van dergelijke tests kan maanden in beslag nemen, vooral als organisaties nog geen ervaring hebben met deze vorm van ethisch hacken.

Contractaanpassingen met ICT-leveranciers zijn vaak complex en tijdrovend. Externe leveranciers moeten voldoen aan dezelfde beveiligingsstandaarden als de financiële instelling zelf. Onderhandelingen over nieuwe contractvoorwaarden, exitstrategieën en auditrechten kunnen lang duren, vooral bij grote internationale leveranciers.

Het incidentmeldingsproces vereist niet alleen technische implementatie, maar ook training van medewerkers en afstemming met toezichthouders over meldingsformaten en termijnen.

Geef deze onderdelen voorrang in je implementatieplan en start zo snel mogelijk met de voorbereidingen.

Hoe helpt Hoek en Blok IT bij DORA-compliance?

Hoek en Blok IT ondersteunt organisaties bij elke stap van DORA-implementatie met een pragmatische en resultaatgerichte aanpak. Met NOREA-gecertificeerde EDP-auditors en ruime ervaring in de financiële sector biedt het bureau diepgaande kennis van sectorvereisten en DORA-compliance.

Concrete dienstverlening omvat:

  • DORA gap-assessments om te bepalen welke risico’s of maatregelen nog nodig zijn voor voldoende digitale weerbaarheid
  • IT-audits om compliance met regelgevende vereisten te beoordelen
  • Security-assessments en penetratietests, inclusief ondersteuning bij TLPT-trajecten
  • Implementatiebegeleiding bij het opzetten van ICT-risicobeheerkaders conform DORA-normen
  • IT Security Officer as a Service voor organisaties die behoefte hebben aan structurele ondersteuning
  • Monitoringstructuren die zichtbaarheid bieden op de periodieke uitvoering van maatregelen en hun effectiviteit

Wil je weten waar jouw organisatie staat en hoe je de DORA-deadline haalt? Neem contact op met Hoek en Blok IT voor een vrijblijvend gesprek over de mogelijkheden.