Directiehand plaatst glazen stolp over miniatuur serverrack op mahonie vergadertafel met risicodocumenten en hangslot

Wat is ICT-risicomanagement onder DORA?

in

ICT-risicomanagement onder DORA is het systematisch identificeren, beoordelen en beheersen van risico’s die voortkomen uit informatietechnologie binnen financiële instellingen. Sinds januari 2025 is dit geen vrijwillige best practice meer, maar een wettelijke verplichting onder de Digital Operational Resilience Act. DORA verplicht organisaties om aantoonbaar digitale weerbaarheid te realiseren en te testen. In dit artikel beantwoorden we de belangrijkste vragen over ICT-risicomanagement volgens DORA.

Wat is ICT-risicomanagement en waarom is het essentieel onder DORA?

ICT-risicomanagement onder DORA omvat het identificeren, beoordelen en beheersen van alle risico’s die voortkomen uit het gebruik van informatietechnologie. Het gaat om de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van data en systemen. DORA maakt dit proces verplicht voor financiële instellingen en hun kritieke ICT-dienstverleners.

De verschuiving van vrijwillige naar verplichte maatregelen is fundamenteel. Waar organisaties voorheen zelf konden bepalen hoe intensief zij risico’s beheersten, stelt DORA nu uniforme eisen. Dit betekent dat het bestuur (management body) eindverantwoordelijk is voor het effectief managen van alle ICT-risico’s. Deze verantwoordelijkheid omvat het vaststellen van beleid, het toewijzen van rollen en het periodiek beoordelen van afspraken met externe ICT-dienstverleners.

De kernprincipes van DORA voor digitale operationele weerbaarheid rusten op vijf pijlers: ICT-risicomanagement, incidentmanagement en rapportage, testen van digitale weerbaarheid, beheer van risico’s bij derde partijen en informatie-uitwisseling. Samen vormen deze pijlers een samenhangend kader dat financiële instellingen weerbaar maakt tegen verstoringen.

Welke organisaties moeten voldoen aan de DORA-vereisten voor ICT-risicomanagement?

DORA geldt voor een breed scala aan financiële entiteiten binnen de Europese Unie. Hieronder vallen banken, verzekeraars, herverzekeraars, beleggingsondernemingen, betaalinstellingen, elektronische geldinstellingen, beheerders van alternatieve beleggingsfondsen en instellingen voor collectieve belegging in effecten. Ook pensioenfondsen en kredietbeoordelaars vallen onder het toepassingsgebied.

De proportionaliteitseis is relevant voor middelgrote organisaties. DORA erkent dat niet elke organisatie dezelfde middelen heeft. De vereisten worden daarom toegepast in verhouding tot de omvang, het risicoprofiel en de complexiteit van de organisatie. Micro-ondernemingen hebben bijvoorbeeld minder strikte documentatieverplichtingen, maar de kernprincipes blijven van toepassing.

Kritieke derde partijen spelen een bijzondere rol binnen het DORA-kader. ICT-dienstverleners zoals cloudproviders, softwareleveranciers en datacenters die diensten leveren aan financiële instellingen kunnen als kritiek worden aangemerkt. Deze partijen moeten zelf ook voldoen aan DORA-vereisten en worden direct onderworpen aan toezicht door Europese toezichthouders. Dit betekent dat de gehele keten verantwoordelijk is voor digitale weerbaarheid.

Welke stappen moet je doorlopen voor DORA-compliant ICT-risicomanagement?

Het opzetten van een ICT-risicomanagementkader volgens DORA verloopt via verschillende kernfasen. Een goed gedocumenteerd en uitgebreid raamwerk vormt de basis, met als doel alle ICT-risico’s adequaat aan te pakken en een hoog niveau van digitale weerbaarheid te bereiken.

  • Identificatie van ICT-assets: Breng alle informatiesystemen, hardware, software en datastromen in kaart die kritiek zijn voor bedrijfsprocessen.
  • Risicobeoordeling: Identificeer risicobronnen continu, niet alleen periodiek. Verzamel en beoordeel informatie over cyberdreigingen en kwetsbaarheden minimaal jaarlijks.
  • Implementatie van beschermingsmaatregelen: Tref technische en organisatorische maatregelen die risico’s mitigeren tot een acceptabel niveau.
  • Detectie- en responsmechanismen: Richt processen in voor het detecteren, beheren en rapporteren van ICT-incidenten, met duidelijke rollen en verantwoordelijkheden.
  • Herstelprocessen: Zorg voor procedures die tijdig herstel van diensten garanderen na een verstoring.

Documentatievereisten onder DORA zijn strikt. Het ICT-risicomanagementkader moet minimaal jaarlijks worden beoordeeld, met directe herziening na grote ICT-gerelateerde incidenten of feedback van toezichthouders. Het beoordelingsrapport moet beschikbaar zijn voor indiening bij de bevoegde autoriteit op verzoek.

Governancestructuren vereisen dat de verantwoordelijkheid voor risicomanagement wordt toegewezen aan een controlefunctie. Het bestuur moet periodiek trainingen volgen om voldoende kennis en vaardigheden te behouden voor het beoordelen van ICT-risico’s.

Hoe identificeer en classificeer je ICT-risico’s volgens DORA?

De methodologie voor het in kaart brengen van ICT-risico’s vereist een continue aanpak. Organisaties moeten alle bronnen van ICT-risico doorlopend identificeren, inclusief risico’s die voortkomen uit relaties met andere entiteiten. Dit gaat verder dan periodieke assessments en erkent dat het dreigingslandschap voortdurend verandert.

Risicoclassificatie vindt plaats op basis van impact en waarschijnlijkheid. De potentiële impact van dreigingen en kwetsbaarheden op bedrijfsmiddelen moet worden geëvalueerd voor alle bedrijfsfuncties. Deze beoordeling informeert beveiligingsinvesteringen, controlprioriteiten en beslissingen over middelentoewijzing.

Het identificeren van kritieke functies en afhankelijkheden is essentieel. Breng in kaart welke bedrijfsprocessen afhankelijk zijn van specifieke ICT-systemen en externe dienstverleners. Let daarbij op:

  • Afhankelijkheden van cloudservices en externe software
  • Koppelingen met derde partijen voor dataverwerking
  • Systemen die kritieke financiële diensten ondersteunen
  • Concentratierisico’s bij enkele leveranciers

Restrisico’s die overblijven na implementatie van beheersmaatregelen moeten expliciet worden geïdentificeerd en gedocumenteerd. Er moeten duidelijke rollen en verantwoordelijkheden worden toegewezen voor het accepteren van restrisico’s die tolerantieniveaus overschrijden.

Wat zijn de belangrijkste uitdagingen bij DORA ICT-risicomanagement?

Middelgrote organisaties ervaren verschillende obstakels bij de implementatie van DORA-vereisten. Een veelvoorkomend probleem is het gebrek aan interne expertise. DORA vereist specialistische kennis op het snijvlak van IT, compliance en risicomanagement die niet altijd intern beschikbaar is.

Third-party risk management vormt een complexe uitdaging. Organisaties moeten niet alleen hun eigen systemen beheersen, maar ook toezicht houden op afspraken met ICT-dienstverleners. Dit omvat het begrijpen van de impact van geplande materiële wijzigingen bij leveranciers op kritieke functies. De keten van afhankelijkheden kan lang en onoverzichtelijk zijn.

De integratie met bestaande frameworks vraagt om zorgvuldige afstemming. Organisaties die al werken met ISO 27001 of andere standaarden moeten bepalen waar overlap bestaat en waar aanvullende maatregelen nodig zijn. Dit voorkomt dubbel werk, maar vereist grondige analyse.

Het balanceren van compliance met operationele efficiëntie blijft een praktische overweging. Documentatie-eisen en governancestructuren kosten tijd en middelen. Middelgrote organisaties moeten slimme keuzes maken om compliant te zijn zonder de dagelijkse operatie te verstoren. Een nulmeting (baseline assessment) helpt om te begrijpen wat DORA concreet betekent voor de organisatie en geeft inzicht in aankomende verplichtingen.

Hoe verschilt DORA ICT-risicomanagement van bestaande frameworks zoals ISO 27001?

DORA en ISO 27001 delen gemeenschappelijke doelen rond informatiebeveiliging, maar verschillen in scope en juridische status. ISO 27001 is een vrijwillige certificeringsstandaard, terwijl DORA bindende Europese wetgeving is met directe werking voor financiële instellingen.

De overlap tussen beide frameworks is aanzienlijk. Beide vereisen een systematische aanpak van risicomanagement, documentatie van beleid en procedures, en periodieke beoordeling van maatregelen. Organisaties met een ISO 27001-certificering hebben vaak al een stevige basis voor DORA-compliance.

DORA stelt echter aanvullende eisen die verder gaan dan ISO 27001:

  • Specifieke vereisten voor het testen van digitale operationele weerbaarheid
  • Verplichte incidentrapportage aan toezichthouders
  • Uitgebreide eisen voor beheer van derde partijen
  • Directe verantwoordelijkheid van het bestuur voor ICT-risico’s
  • Proportionaliteitsvereisten specifiek voor de financiële sector

NIS2 en DORA zijn beide EU-wetgevingen gericht op verbetering van cyberveiligheid. NIS2 geldt voor een breed scala aan sectoren, terwijl DORA specifiek is gericht op de financiële sector. Beide wetgevingen zijn op elkaar afgestemd om juridische duidelijkheid en coherentie te waarborgen, wat overlappende of tegenstrijdige vereisten voorkomt.

Organisaties kunnen bestaande certificeringen benutten als startpunt. Een gap-analyse toont aan waar huidige maatregelen voldoen en waar aanvullingen nodig zijn om volledig DORA-compliant te worden.

Hoe helpt Hoek en Blok IT bij ICT-risicomanagement onder DORA?

Hoek en Blok IT ondersteunt financiële instellingen en ICT-dienstverleners bij het realiseren van DORA-compliance. Met NOREA-gecertificeerde EDP-auditors en praktische ervaring in IT-security biedt het bureau concrete hulp bij de implementatie van ICT-risicomanagement volgens DORA-vereisten.

De dienstverlening omvat:

  • Gap-analyses: beoordeling van huidige maatregelen aan de hand van DORA-vereisten om hiaten te identificeren
  • Risico-assessments: methodische identificatie en classificatie van ICT-risico’s
  • Implementatiebegeleiding: ondersteuning bij het opzetten van governancestructuren en documentatie
  • IT Security Officer as-a-Service: externe expertise voor organisaties zonder interne specialisten
  • Penetratietests en security assessments: testen van digitale weerbaarheid zoals DORA vereist

Kernvoordelen van samenwerking met Hoek en Blok IT zijn de pragmatische aanpak, betaalbare tarieven en de combinatie van auditervaring met technische expertise. Dit maakt DORA-compliance bereikbaar voor middelgrote organisaties.

Neem contact op voor een vrijblijvend adviesgesprek over ICT-risicomanagement onder DORA. Samen bepalen we welke stappen nodig zijn om jouw organisatie compliant en weerbaar te maken.

Wat zijn de kosten van NIS2 implementatie?Messing hangslot op compliance-documenten naast eurobiljetten en laptop met financiële spreadsheets op executive bureauMetalen schild beschermt EU-financiële documenten en miniatuur bankgebouw op bureau in ochtendlichtWaarom is DORA belangrijk?