Kantoormedewerker bestudeert geconcentreerd een compliance-document aan bureau met laptop en grafieken in daglicht

Wat is de rol van een medewerker onder DORA?

in

De rol van een medewerker onder DORA omvat het actief bijdragen aan de digitale operationele weerbaarheid van de organisatie. Dit betekent concreet: het volgen van beveiligingsprocedures, het melden van ICT-incidenten en het deelnemen aan securityawarenesstrainingen. De Digital Operational Resilience Act legt de verantwoordelijkheid voor digitale veiligheid niet alleen bij de organisatie, maar ook bij individuele medewerkers die dagelijks met IT-systemen werken.

Wat houdt DORA precies in voor medewerkers binnen een organisatie?

DORA is Europese wetgeving die sinds januari 2025 van toepassing is en financiële instellingen verplicht hun digitale weerbaarheid te versterken. Voor medewerkers betekent dit dat zij een actieve rol spelen in het beschermen van netwerk- en informatiesystemen tegen cyberaanvallen en andere verstoringen die financiële diensten kunnen onderbreken.

De verordening rust op vijf pijlers: ICT-risicobeheer, ICT-incidentenbeheer en -rapportage, het testen van digitale operationele weerbaarheid, het beheer van risico’s bij derde partijen en het delen van informatie over cyberdreigingen. Elk van deze pijlers heeft directe gevolgen voor de dagelijkse werkzaamheden van medewerkers.

Het verschil tussen organisatieverplichtingen en individuele verantwoordelijkheden is helder: de organisatie moet het raamwerk, de procedures en de middelen bieden. Medewerkers zijn vervolgens verantwoordelijk voor het naleven van deze procedures in hun dagelijkse werk. Denk aan het veilig omgaan met wachtwoorden, het herkennen van phishingpogingen en het direct melden van verdachte situaties.

Welke specifieke verplichtingen hebben medewerkers onder DORA?

Medewerkers hebben onder DORA concrete verplichtingen die bijdragen aan de digitale weerbaarheid van de organisatie. De belangrijkste verplichting is het tijdig melden van ICT-incidenten. Dit omvat niet alleen grote cyberaanvallen, maar ook kleinere verstoringen die de continuïteit van de dienstverlening kunnen beïnvloeden.

De specifieke verplichtingen voor medewerkers omvatten:

  • Het direct melden van verdachte activiteiten, datalekken of systeemverstoringen aan de daarvoor aangewezen persoon of afdeling
  • Het strikt volgen van vastgestelde beveiligingsprocedures en -protocollen
  • Het deelnemen aan verplichte securityawarenesstrainingen
  • Het veilig omgaan met toegangsrechten en authenticatiemiddelen
  • Het herkennen en rapporteren van potentiële cyberdreigingen, zoals phishing of social engineering

De snelle opsporing en melding van IT-incidenten is cruciaal om schade te beperken. DORA vereist dat organisaties een structuur hebben voor snelle incidentdetectie, waarbij medewerkers de eerste verdedigingslinie vormen. Zij zijn vaak degenen die als eerste onregelmatigheden opmerken in systemen of processen.

Hoe verschilt de rol van een medewerker per functie binnen DORA?

De verantwoordelijkheden onder DORA variëren aanzienlijk per functie binnen de organisatie. IT-personeel draagt de meest directe operationele verantwoordelijkheid, terwijl het management de eindverantwoordelijkheid heeft voor het inrichten van een adequaat IT-risicobeheerkader.

IT-personeel is verantwoordelijk voor het technisch implementeren en onderhouden van beveiligingsmaatregelen. Zij voeren regelmatige IT-risicobeoordelingen uit, beheren toegangsrechten en zorgen voor de technische uitvoering van veerkrachttesten. Daarnaast monitoren zij systemen op afwijkingen en coördineren zij de respons bij incidenten.

Compliance officers bewaken de naleving van DORA-vereisten en rapporteren aan het management over de compliancestatus. Zij vertalen de zes hoofdvereisten van DORA (governance, IT-risicobeheer, incidentrapportage, veerkrachttesten, derdenbeheer en informatie-uitwisseling) naar concrete beleidsmaatregelen en procedures.

Management en bestuurders zijn eindverantwoordelijk voor het inrichten van governancestructuren die digitale dreigingen beheersen en klantgegevens beschermen. Zij stellen budget beschikbaar, keuren beleid goed en zorgen voor voldoende aandacht voor digitale weerbaarheid op strategisch niveau.

Overige medewerkers volgen de vastgestelde procedures, nemen deel aan trainingen en melden incidenten. Hun bijdrage lijkt bescheiden, maar is essentieel: zij vormen vaak het eerste contactpunt waar cyberdreigingen binnenkomen via phishingmails of social engineering.

Wat zijn de gevolgen als medewerkers niet voldoen aan DORA-vereisten?

Niet-naleving van DORA-vereisten heeft consequenties op zowel organisatie- als individueel niveau. Toezichthouders zoals De Nederlandsche Bank (DNB) houden actief toezicht op de naleving en kunnen sancties opleggen wanneer organisaties niet aan de vereisten voldoen.

Op organisatieniveau kunnen de gevolgen aanzienlijk zijn:

  • Boetes en andere administratieve sancties van toezichthouders
  • Reputatieschade bij klanten en partners
  • Verhoogde kwetsbaarheid voor cyberaanvallen en operationele verstoringen
  • Verlies van vertrouwen in de financiële dienstverlening

Voor individuele medewerkers kunnen de gevolgen variëren van interne disciplinaire maatregelen tot aansprakelijkheid bij grove nalatigheid. Wanneer een medewerker bewust procedures negeert en dit leidt tot een datalek of cyberincident, kan dit arbeidsrechtelijke consequenties hebben.

De DNB stelt gerichte vragen aan financiële instellingen over hun DORA-compliance. Deze vragen geven inzicht in de prioriteiten van de toezichthouder en maken duidelijk dat naleving serieus wordt genomen. Organisaties moeten kunnen aantonen dat medewerkers adequaat zijn getraind en dat procedures worden nageleefd.

Hoe kunnen medewerkers zich voorbereiden op hun DORA-verantwoordelijkheden?

Een goede voorbereiding op DORA-verantwoordelijkheden begint met bewustwording en kennis. Medewerkers kunnen zich het beste voorbereiden door actief deel te nemen aan aangeboden trainingen en zich te verdiepen in de interne procedures van hun organisatie.

Praktische stappen voor medewerkers:

  • Volg alle aangeboden securityawarenesstrainingen en neem de inhoud serieus
  • Maak jezelf vertrouwd met de interne meldprocedures voor ICT-incidenten
  • Ken de contactpersonen voor beveiligingsvragen binnen je organisatie
  • Blijf alert op verdachte e-mails, telefoontjes of andere vormen van social engineering
  • Gebruik sterke, unieke wachtwoorden en activeer tweefactorauthenticatie waar mogelijk

Het ontwikkelen van een veiligheidsbewuste mindset is minstens zo belangrijk als het kennen van procedures. Dit betekent dat je bij twijfel altijd vraagt, liever een vals alarm meldt dan een echt incident mist, en beseft dat digitale veiligheid een gedeelde verantwoordelijkheid is.

Een nulmeting (baseline assessment) wordt beschouwd als een essentiële eerste stap voor organisaties om te begrijpen wat DORA concreet betekent. Als medewerker kun je hieraan bijdragen door open te zijn over huidige werkwijzen en knelpunten te signaleren.

Hoe ondersteunt Hoek en Blok IT uw organisatie bij DORA-compliance voor medewerkers?

Hoek en Blok IT biedt concrete ondersteuning bij het voorbereiden van medewerkers op hun DORA-verantwoordelijkheden. Met ruim dertig jaar praktijkervaring in de financiële sector en bij IT-serviceproviders begrijpen onze NOREA-gecertificeerde IT-auditors precies wat er nodig is voor effectieve DORA-compliance.

Onze dienstverlening omvat:

  • Securityawarenesstrainingen die medewerkers praktische handvatten geven voor het herkennen en melden van cyberdreigingen
  • Het opstellen en implementeren van heldere procedures voor incidentmelding en -afhandeling
  • GAP-assessments om te bepalen welke maatregelen nog nodig zijn voor voldoende digitale weerbaarheid
  • Het IT Security Officer as-a-Service-concept voor organisaties die behoefte hebben aan structurele ondersteuning
  • Ondersteuning bij het inrichten van monitoringstructuren die de periodieke uitvoering en effectiviteit van maatregelen waarborgen

Door onze pragmatische en betaalbare aanpak helpen wij organisaties niet alleen aan compliance, maar ook aan daadwerkelijke verbetering van de digitale weerbaarheid. Neem contact op voor een vrijblijvend gesprek over hoe wij uw organisatie kunnen ondersteunen bij DORA-implementatie.