Wat zijn de risico’s van niet-naleving van DORA?
Niet-naleving van DORA brengt aanzienlijke risico’s met zich mee voor financiële instellingen en hun IT-dienstverleners. Organisaties die niet voldoen aan de Digital Operational Resilience Act riskeren financiële sancties, operationele verstoringen, reputatieschade en persoonlijke aansprakelijkheid voor bestuurders. Sinds januari 2025 moeten alle organisaties binnen het toepassingsgebied volledig compliant zijn. Dit artikel beantwoordt de belangrijkste vragen over de gevolgen van niet-naleving en hoe u deze kunt voorkomen.
Wat houdt niet-naleving van DORA precies in?
Niet-naleving van DORA betekent dat een organisatie niet voldoet aan de wettelijke vereisten voor digitale operationele weerbaarheid die de Europese Unie heeft vastgesteld. Dit kan variëren van volledige afwezigheid van vereiste maatregelen tot gedeeltelijke tekortkomingen in specifieke domeinen, zoals ICT-risicomanagement, incidentrapportage of uitbestedingsbeleid.
DORA is van toepassing op een breed scala aan financiële instellingen, waaronder banken, verzekeraars, herverzekeraars, beleggingsfondsen en betaaldienstverleners. Daarnaast geldt de wetgeving voor kritieke derde dienstverleners die IT-diensten leveren aan deze instellingen, zoals cloudcomputingproviders, softwareleveranciers en datacenters.
De minimale vereisten waaraan organisaties moeten voldoen, omvatten zes hoofdgebieden:
- Governance en het inrichten van een IT-risicobeheerkader
- Regelmatige IT-risicobeoordelingen en risicobeheer
- Snelle opsporing en melding van IT-incidenten
- Periodieke veerkrachttesten van digitale systemen
- Strikt beheer van IT-dienstverleners en uitbestedingsrelaties
- Actief delen van cyberdreigingsinformatie
Het verschil tussen volledige niet-naleving en gedeeltelijke tekortkomingen is relevant voor de beoordeling door toezichthouders. Een organisatie zonder enig IT-risicobeheerkader wordt anders beoordeeld dan een organisatie die wel maatregelen heeft getroffen, maar bijvoorbeeld tekortschiet in de documentatie van procedures voor incidentrapportage.
Welke financiële sancties riskeren organisaties bij DORA-overtredingen?
Toezichthouders kunnen aanzienlijke financiële sancties opleggen bij niet-naleving van DORA. De hoogte van boetes wordt bepaald door factoren zoals de ernst van de overtreding, de duur van niet-naleving, de mate van verwijtbaarheid en de impact op klanten of de financiële stabiliteit. Nationale toezichthouders, zoals De Nederlandsche Bank (DNB), hebben de bevoegdheid om handhavingsmaatregelen te treffen.
De factoren die de hoogte van sancties beïnvloeden, zijn onder meer:
- De omvang en complexiteit van de organisatie
- Of de overtreding opzettelijk of door nalatigheid is ontstaan
- De bereidheid om mee te werken aan onderzoek en herstel
- Eerdere overtredingen of waarschuwingen
- De financiële draagkracht van de organisatie
Bij herhaalde overtredingen kunnen sancties aanzienlijk oplopen. Toezichthouders kunnen ook aanvullende maatregelen opleggen, zoals het verplicht stellen van externe audits of het beperken van bepaalde bedrijfsactiviteiten totdat compliance is aangetoond.
Wat zijn de operationele gevolgen van niet-naleving van DORA?
Wanneer DORA-vereisten niet worden nageleefd, ontstaat verhoogde kwetsbaarheid voor cyberaanvallen en operationele verstoringen. Organisaties zonder adequaat ICT-risicomanagement missen vaak de mechanismen om dreigingen tijdig te detecteren en effectief te reageren. Dit kan leiden tot langdurige uitval van kritieke systemen en diensten.
De praktische impact op de dagelijkse bedrijfsvoering is substantieel. Zonder structurele procedures voor incidentrapportage duurt het langer voordat problemen worden geïdentificeerd en opgelost. Gebrekkig leveranciersbeheer kan resulteren in situaties waarin externe IT-dienstverleners niet voldoen aan de benodigde beveiligingsstandaarden, wat de hele keten kwetsbaar maakt.
Cascade-effecten binnen de organisatie ontstaan wanneer één zwakke schakel in het ICT-risicomanagement andere processen beïnvloedt. Een incident bij een cloudprovider kan bijvoorbeeld doorwerken naar klantdiensten, financiële rapportages en complianceverplichtingen. Organisaties die hun digitale weerbaarheid niet periodiek testen, ontdekken deze kwetsbaarheden vaak pas wanneer het te laat is.
Hoe beïnvloedt niet-naleving van DORA uw reputatie en klantrelaties?
Reputatieschade door niet-naleving van DORA kan langdurige gevolgen hebben voor klantvertrouwen en marktpositie. Wanneer toezichthouders sancties opleggen of incidenten publiekelijk bekend worden, kan dit het vertrouwen van klanten, partners en investeerders ernstig beschadigen. In de financiële sector is vertrouwen een kernwaarde die moeilijk te herstellen is na een incident.
Het effect op klantrelaties is direct merkbaar. Zakelijke klanten stellen steeds vaker eisen aan de digitale weerbaarheid van hun dienstverleners. Organisaties die niet kunnen aantonen dat zij voldoen aan DORA-vereisten, verliezen mogelijk contracten aan concurrenten die wel compliant zijn. Dit geldt zowel voor financiële instellingen als voor IT-dienstverleners die aan deze sector leveren.
Publieke bekendmaking van sancties of beveiligingsincidenten heeft een multipliereffect. Media-aandacht versterkt de negatieve perceptie, en in het digitale tijdperk blijft deze informatie langdurig vindbaar. Potentiële klanten die due diligence uitvoeren, stuiten op deze informatie, wat de commerciële impact verder vergroot.
Welke aansprakelijkheidsrisico’s lopen bestuurders bij niet-naleving van DORA?
DORA legt expliciet verantwoordelijkheden bij het bestuur voor ICT-risicobeheer en digitale operationele weerbaarheid. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld wanneer zij nalatig zijn geweest in het waarborgen van adequate governance-structuren en risicobeheersmaatregelen. Dit gaat verder dan alleen financiële aansprakelijkheid.
De governancevereisten onder DORA verplichten bestuurders om actief betrokken te zijn bij het IT-risicobeheerkader. Zij moeten aantoonbaar toezicht houden op de implementatie van maatregelen, voldoende middelen beschikbaar stellen en periodiek rapportages ontvangen over de effectiviteit van de digitale weerbaarheid.
De rol van het bestuur omvat onder meer:
- Goedkeuring van het IT-risicobeheerkader en beleid
- Toezicht op de uitvoering van veerkrachttesten
- Beoordeling van uitbestedingsrisico’s bij kritieke IT-dienstverleners
- Waarborgen van adequate incidentresponscapaciteit
- Zorgen voor voldoende kennis en expertise binnen de organisatie
Bij nalatigheid kunnen bestuurders te maken krijgen met bestuurdersaansprakelijkheid, beroepsverboden of andere persoonlijke sancties die door toezichthouders kunnen worden opgelegd.
Hoe kunt u de risico’s van niet-naleving van DORA voorkomen?
Het voorkomen van niet-naleving van DORA begint met een grondige analyse van uw huidige situatie ten opzichte van de wettelijke vereisten. Een gap-assessment helpt te identificeren welke risico’s nog aanwezig zijn en welke maatregelen nog nodig zijn om voldoende digitale weerbaarheid te bereiken. Op basis hiervan stelt u een realistisch implementatieplan op met duidelijke prioriteiten en deadlines.
Praktische stappen voor DORA-compliance omvatten:
- Inventariseer alle kritieke IT-systemen en processen
- Beoordeel uw huidige ICT-risicomanagement aan de hand van DORA-vereisten
- Stel duidelijke procedures voor incidentrapportage op
- Breng uitbestedingsrelaties met IT-dienstverleners in kaart
- Plan periodieke veerkrachttesten, inclusief penetratietests
- Zorg voor adequate documentatie van alle maatregelen
Het betrekken van de juiste expertise is essentieel. DORA-compliance vereist zowel technische kennis als begrip van de regelgevende context. Overweeg of uw organisatie intern voldoende capaciteit heeft, of dat externe ondersteuning nodig is om efficiënt aan alle vereisten te voldoen zonder onnodige administratieve lasten.
Hoe helpt Hoek en Blok IT bij DORA-compliance?
Hoek en Blok IT ondersteunt organisaties bij elke stap van de DORA-implementatie met een pragmatische en resultaatgerichte aanpak. Als gespecialiseerd IT-audit- en beveiligingsbureau combineert Hoek en Blok IT technische expertise met ruime auditervaring in de financiële sector en bij IT-dienstverleners.
De dienstverlening omvat:
- DORA gap-assessments om te bepalen welke maatregelen nog nodig zijn
- IT-audits uitgevoerd door NOREA-gecertificeerde EDP-auditors
- Security-assessments en penetratietests voor veerkrachttesten
- IT Security Officer as a Service voor doorlopende compliance-ondersteuning
- Implementatiebegeleiding bij het opzetten van ICT-risicobeheerkaders
- Monitoringstructuren voor periodieke effectiviteitsmeting
Met meer dan dertig jaar praktijkervaring en een sterke focus op de financiële sector begrijpt Hoek en Blok IT de specifieke uitdagingen van DORA-compliance. De betaalbare en pragmatische aanpak zorgt ervoor dat organisaties efficiënt voldoen aan alle vereisten.
Wilt u weten hoe uw organisatie ervoor staat op het gebied van DORA-compliance? Neem contact op met Hoek en Blok IT voor een vrijblijvend gesprek over uw situatie en de mogelijkheden voor ondersteuning.




