Officieel EU-regelgevingsdocument met reliëfzegel op mahonie bureau, leesbril en bankierslamp met warm licht

Wat is DORA?

in

DORA is de Digital Operational Resilience Act, een Europese verordening die financiële instellingen en hun ICT-dienstverleners verplicht om hun digitale weerbaarheid te versterken. De wetgeving is sinds 17 januari 2025 van toepassing en richt zich op bescherming tegen cyberaanvallen en ICT-verstoringen. In dit artikel beantwoorden we de belangrijkste vragen over DORA-compliance en wat dit betekent voor jouw organisatie.

Wat is DORA en waarom is deze wetgeving belangrijk?

DORA staat voor Digital Operational Resilience Act en is Europese wetgeving die de digitale operationele weerbaarheid van de financiële sector moet versterken. De verordening is onderdeel van het EU-pakket voor digitale financiën en heeft als doel een uniform beschermingsniveau te creëren binnen de Europese financiële sector.

De achtergrond van DORA ligt in de toenemende afhankelijkheid van financiële instellingen van ICT-systemen en externe dienstverleners. Cyberaanvallen en operationele verstoringen kunnen grote gevolgen hebben voor de continuïteit van financiële diensten en het vertrouwen van consumenten. DORA adresseert deze risico’s door uniforme eisen te stellen aan ICT-risicobeheer en digitale weerbaarheid.

De wetgeving is sinds januari 2023 van kracht, maar organisaties hadden tot 17 januari 2025 de tijd om volledig te voldoen aan alle vereisten. Vanaf die datum moeten financiële instellingen kunnen aantonen dat zij voldoende maatregelen hebben geïmplementeerd en dat deze maatregelen daadwerkelijk effectief zijn.

Voor welke organisaties geldt DORA?

DORA is van toepassing op een breed scala aan financiële instellingen binnen de Europese Unie. De verordening geldt voor alle entiteiten die onder EU-financiële regelgeving vallen, waaronder banken, verzekeraars, herverzekeraars, beleggingsondernemingen en betaaldienstverleners.

Specifiek vallen onder DORA:

  • Banken en kredietinstellingen
  • Verzekeraars en herverzekeraars
  • Beleggingsondernemingen en fondsbeheerders
  • Betalingsinstellingen en elektronische geldinstellingen
  • Beheerders van alternatieve beleggingsfondsen
  • Instellingen voor collectieve belegging in effecten

Belangrijk is dat DORA ook van toepassing is op kritieke derde dienstverleners die ICT-diensten leveren aan financiële instellingen. Dit omvat cloudcomputingproviders, softwareleveranciers en datacenters. Veel organisaties worden indirect geraakt via ketens, moedermaatschappijen of dienstverlening, wat regelmatig leidt tot vragen over de exacte reikwijdte.

Wat zijn de vijf pijlers van DORA?

DORA is opgebouwd rond vijf kernvereisten die samen een compleet raamwerk vormen voor digitale operationele weerbaarheid. Het NOREA DORA in Control Framework vertaalt deze vereisten naar 28 controledomeinen met specifieke beheersmaatregelen.

ICT-risicomanagement vormt de basis en vereist het inrichten van een ICT-risicobeheerkader om digitale dreigingen te beheersen en klantgegevens te beschermen. Organisaties moeten regelmatige risicobeoordelingen uitvoeren om systemen en data veilig te houden.

ICT-gerelateerde incidentenrapportage verplicht snelle opsporing en melding van ICT-incidenten. Dit beperkt schade en beschermt de reputatie van de organisatie. Denk aan het melden van datalekken of cyberaanvallen bij de toezichthouder.

Testen van digitale operationele weerbaarheid houdt in dat organisaties hun digitale weerbaarheid regelmatig moeten testen. Verplichte penetratietests en ethische hacktests maken hier onderdeel van uit. Een gedegen DORA-aanpak omvat al deze testvormen.

Beheer van ICT-risico’s bij derden betreft strikt beheer van ICT-dienstverleners om continuïteit en veiligheid te waarborgen. Contracten met leveranciers moeten voldoen aan specifieke DORA-vereisten.

Informatie-uitwisseling vereist het actief delen van cyberdreigingsinformatie om sneller te reageren op nieuwe risico’s en de sector veiliger te maken.

Hoe bereid je jouw organisatie voor op DORA-compliance?

Een nulmeting is een logisch startpunt om vast te stellen in hoeverre DORA daadwerkelijk is geïmplementeerd in jouw organisatie. Deze baseline assessment geeft inzicht in aankomende verplichtingen en toetst direct of huidige maatregelen effectief zijn.

Concrete stappen voor DORA-implementatie:

  • Gapanalyse uitvoeren: breng in kaart waar jouw organisatie staat ten opzichte van de DORA-vereisten
  • Beleid en procedures opstellen of aanpassen voor ICT-risicomanagement
  • Contracten met ICT-leveranciers herzien en aanpassen aan DORA-eisen
  • Incidentrapportageprocessen inrichten voor snelle detectie en melding
  • Penetratietests en veerkrachttesten plannen en uitvoeren
  • Governancestructuur inrichten met duidelijke verantwoordelijkheden

DORA is primair een governance- en organisatievraagstuk, niet alleen een IT-thema. Bestuurlijke verantwoordelijkheid en de inrichting van de second line zijn cruciaal. Veel organisaties denken DORA wel op orde te hebben, maar worstelen juist met details en aantoonbaarheid.

Wat zijn de gevolgen van niet-naleving van DORA?

Niet-naleving van DORA kan leiden tot handhavingsmaatregelen door toezichthouders zoals De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM). Deze toezichthouders hebben de bevoegdheid om sancties en boetes op te leggen bij non-compliance.

Naast financiële sancties zijn er andere risico’s:

  • Reputatieschade bij klanten en zakenpartners
  • Operationele gevolgen door onvoldoende digitale weerbaarheid
  • Onaangename verrassingen bij toezichtinspecties
  • Contractuele problemen met ketenpartners die DORA-compliance eisen

DORA vraagt om aantoonbaarheid, niet alleen beleid. De vraag is: hoe laat je zien dat je in control bent? Een assurancerapportage, bijvoorbeeld een ISAE 3000-verklaring, kan een manier zijn om naleving aantoonbaar te maken richting toezichthouders en zakenpartners.

Hoe helpt Hoek en Blok IT bij DORA-compliance?

Hoek en Blok IT ondersteunt organisaties bij elke stap van DORA-implementatie met een pragmatische en resultaatgerichte aanpak. De NOREA-gecertificeerde EDP-auditors combineren technische expertise met auditervaring.

Concrete dienstverlening voor DORA-compliance:

  • IT-audits en assurancerapportages: ISAE 3000-verklaringen, ISAE 3402-verklaringen en SOC 2-rapportages voor aantoonbare compliance
  • Penetratietests en securityassessments: verplichte veerkrachttesten en ethical hacking
  • Ondersteuning bij ICT-risicomanagement: nulmeting, gapanalyse en ontwikkeling van risicobeheerkaders
  • IT Security Officer as a Service: doorlopende ondersteuning voor continue DORA-compliance
  • Begeleiding bij incidentrapportage: processen voor detectie en melding van ICT-incidenten

Wil je weten waar jouw organisatie staat met DORA-compliance? Neem contact op voor een vrijblijvend gesprek over een nulmeting of ondersteuning bij jouw DORA-implementatie.