EU-regelgevingsdocument met reliëfzegel op mahonie vergadertafel, koperen loep op kleine lettertjes, kantoorgebouwen op achtergrond

Welke organisaties vallen onder DORA?

in

Onder DORA vallen alle financiële entiteiten in de Europese Unie, waaronder banken, verzekeraars, beleggingsondernemingen, pensioenfondsen, betaalinstellingen en elektronischgeldinstellingen. Daarnaast geldt de verordening voor kritieke ICT-dienstverleners die diensten leveren aan deze financiële instellingen. De Digital Operational Resilience Act is sinds 17 januari 2025 van kracht en stelt uniforme eisen aan digitale weerbaarheid binnen de gehele financiële sector.

Wat is DORA en waarom is deze verordening ingevoerd?

DORA staat voor Digital Operational Resilience Act en is Europese wetgeving die de digitale operationele weerbaarheid van financiële instellingen versterkt. De verordening is per 17 januari 2025 van toepassing en richt zich specifiek op de beveiliging en weerbaarheid van netwerk- en informatiesystemen binnen de financiële sector.

De Europese Unie achtte deze wetgeving noodzakelijk vanwege de toenemende digitalisering en groeiende cyberdreigingen in de financiële wereld. Financiële instellingen zijn steeds afhankelijker van ICT-systemen en externe technologieleveranciers. Een verstoring bij één partij kan daardoor grote gevolgen hebben voor de hele sector en uiteindelijk voor consumenten.

DORA heeft twee hoofddoelstellingen: het verhogen van de digitale operationele weerbaarheid van financiële instellingen en het beperken van risico’s die voortvloeien uit uitbesteding aan externe dienstverleners. De verordening creëert een uniform regelgevingskader binnen de EU, waardoor versnippering en dubbele regels worden verminderd. Dit draagt bij aan eerlijke concurrentie en een robuustere financiële sector die beter bestand is tegen digitale dreigingen.

Welke financiële instellingen vallen direct onder DORA?

DORA is van toepassing op een breed scala aan financiële entiteiten die onder EU-regelgeving vallen. Artikel 2 van de verordening definieert welke organisaties rechtstreeks aan DORA moeten voldoen. Het gaat om twintig verschillende categorieën financiële entiteiten.

De primaire doelgroep omvat:

  • Banken en kredietinstellingen
  • Beleggingsondernemingen
  • Verzekeraars en herverzekeraars
  • Pensioenfondsen
  • Betaalinstellingen
  • Elektronischgeldinstellingen
  • Kredietbeoordelaars
  • Beheerders van alternatieve beleggingsfondsen
  • Instellingen voor collectieve belegging in effecten

Al deze entiteiten moeten een passend ICT-risicobeheerkader opzetten en onderhouden. Ze moeten kunnen aantonen dat zij voldoende maatregelen hebben geïmplementeerd voor digitale weerbaarheid én dat deze maatregelen effectief werken. Dit vereist niet alleen implementatie, maar ook regelmatige toetsing van de genomen maatregelen.

Vallen ICT-dienstverleners ook onder de DORA-wetgeving?

Ja, DORA reikt verder dan traditionele financiële instellingen. De verordening is ook van toepassing op kritieke ICT-dienstverleners die diensten leveren aan financiële entiteiten. Dit omvat cloudproviders, softwareleveranciers en datacenters die kritieke of belangrijke functies ondersteunen.

De Europese toezichthouders kunnen ICT-dienstverleners aanwijzen als “kritiek” wanneer zij diensten leveren die essentieel zijn voor de bedrijfsvoering van financiële instellingen. Deze aanwijzing brengt directe verplichtingen met zich mee. Kritieke ICT-dienstverleners moeten kunnen aantonen dat zij passende beveiligingsmaatregelen hanteren en de weerbaarheidseisen van hun klanten in de financiële sector kunnen ondersteunen.

Deze uitbreiding van de reikwijdte weerspiegelt het inzicht dat digitale operationele weerbaarheid niet alleen afhangt van interne maatregelen, maar ook van de veiligheid en betrouwbaarheid van de gehele ICT-toeleveringsketen. Financiële instellingen moeten daarom strikt beheer voeren over hun IT-dienstverleners en contractuele afspraken maken die DORA-compliance waarborgen.

Wat zijn de belangrijkste DORA-verplichtingen voor organisaties?

DORA is opgebouwd rond vijf pijlers die samen een compleet kader vormen voor digitale operationele weerbaarheid. Elke pijler stelt specifieke eisen aan financiële instellingen en hun ICT-dienstverleners.

ICT-risicobeheer vereist het inrichten van een risicobeheerkader om digitale dreigingen te beheersen en klantgegevens te beschermen. Dit omvat regelmatige risicobeoordelingen om systemen en data veilig te houden.

ICT-gerelateerde incidentenrapportage verplicht snelle opsporing en melding van IT-incidenten. Organisaties moeten procedures hebben voor het detecteren, classificeren en rapporteren van incidenten aan toezichthouders.

Testen van digitale operationele weerbaarheid betekent dat organisaties hun digitale weerbaarheid regelmatig moeten toetsen. Voor grotere instellingen geldt de verplichting tot threat-led penetration testing.

Beheer van ICT-risico’s van derden behelst het strikt beheren van relaties met externe IT-dienstverleners. Organisaties moeten uitbestedingsrisico’s identificeren, monitoren en beheersen.

Informatie-uitwisseling vereist het actief delen van cyberdreigingsinformatie om sneller te reageren op nieuwe risico’s en de sector veiliger te maken.

Hoe bepaal je of jouw organisatie onder DORA valt?

Het vaststellen of jouw organisatie binnen de reikwijdte van DORA valt, begint met een analyse van de aard van je activiteiten en de relaties met de financiële sector. Een praktische checklist helpt bij deze beoordeling.

Stel jezelf de volgende vragen:

  • Is jouw organisatie een financiële entiteit met een vergunning van DNB of AFM?
  • Lever je ICT-diensten aan financiële instellingen die kritiek zijn voor hun bedrijfsvoering?
  • Ben je aangewezen als kritieke ICT-dienstverlener door Europese toezichthouders?
  • Ondersteun je functies die essentieel zijn voor de continuïteit van financiële dienstverlening?

Het proportionaliteitsbeginsel speelt een belangrijke rol bij DORA. Dit betekent dat de eisen worden afgestemd op de omvang, het risicoprofiel en de complexiteit van de organisatie. Kleinere instellingen krijgen minder zware verplichtingen opgelegd dan grote, systeemrelevante partijen.

DNB en AFM zijn de nationale toezichthouders die toezien op naleving van DORA in Nederland. Zij kunnen specifieke vragen stellen en inspecties uitvoeren. Een nulmeting wordt beschouwd als een essentiële eerste stap om te begrijpen wat DORA concreet betekent voor jouw organisatie.

Welke uitzonderingen en vrijstellingen kent DORA?

DORA kent een aantal uitzonderingen voor specifieke entiteiten. Bepaalde kleine ondernemingen en specifieke categorieën financiële entiteiten zijn geheel of gedeeltelijk uitgezonderd van de verordening. De exacte voorwaarden zijn vastgelegd in artikel 2 van DORA.

Het proportionaliteitsbeginsel zorgt ervoor dat kleinere organisaties minder zware eisen krijgen opgelegd. Dit betekent niet dat zij volledig zijn vrijgesteld, maar dat de implementatie-eisen worden aangepast aan hun omvang en risicoprofiel. Een kleine beleggingsonderneming heeft andere verplichtingen dan een grote bank.

Vrijstellingen gelden onder strikte voorwaarden. Organisaties die menen in aanmerking te komen voor een vrijstelling, doen er goed aan dit te verifiëren bij de relevante toezichthouder. Het zelfstandig concluderen dat DORA niet van toepassing is, kan leiden tot onaangename verrassingen bij toekomstige inspecties.

Ook voor uitgezonderde organisaties kan het waardevol zijn om de DORA-principes toe te passen. De eisen rond digitale weerbaarheid en risicobeheer zijn immers gebaseerd op best practices die voor elke organisatie relevant zijn.

Hoe helpt Hoek en Blok IT bij DORA-compliance?

Hoek en Blok IT ondersteunt financiële instellingen en ICT-dienstverleners bij het voldoen aan de DORA-vereisten. Met ruime ervaring in de financiële sector en IT-dienstverlening bieden wij praktische ondersteuning bij het navigeren door de complexe regelgeving.

Onze DORA-dienstverlening omvat:

  • DORA-gapanalyses om te bepalen welke risico’s of maatregelen nog nodig zijn voor voldoende digitale weerbaarheid
  • Implementatie van ICT-risicobeheer voor het opzetten van een passend risicobeheerkader
  • Penetratietests conform DORA-vereisten om de effectiviteit van beveiligingsmaatregelen te toetsen
  • Ondersteuning bij incidentrapportage en het inrichten van meldingsprocedures
  • IT Security Officer as a Service voor doorlopende ondersteuning bij DORA-compliance
  • Monitoringstructuren die zichtbaarheid bieden op de periodieke uitvoering en effectiviteit van maatregelen

Onze NOREA-gecertificeerde EDP-auditors combineren technische expertise met auditervaring. Wij hanteren een pragmatische en betaalbare aanpak die past bij middelgrote organisaties. Neem contact op voor een vrijblijvend gesprek over jouw DORA-voorbereiding.