Vergrootglas boven puzzelstukjes die digitale infrastructuur voorstellen op bureau van risicomanager met compliance-map

Welke risico’s moet je identificeren voor DORA?

in

Onder DORA moet je als financiële instelling ICT-risico’s identificeren op het gebied van cybersecurity, uitbesteding aan derden, ICT-systemen en -infrastructuur, databescherming en incidentbeheer. Deze risico-identificatie vormt de basis voor digitale operationele weerbaarheid en is sinds januari 2025 wettelijk verplicht. In dit artikel beantwoorden we de belangrijkste vragen over welke risico’s je moet identificeren en hoe je dit effectief aanpakt.

Wat is risico-identificatie onder DORA en waarom is het verplicht?

Risico-identificatie onder DORA is het systematisch in kaart brengen van alle ICT-gerelateerde risico’s die de digitale operationele weerbaarheid van je organisatie kunnen bedreigen. De Digital Operational Resilience Act verplicht financiële instellingen om deze risico’s te identificeren, documenteren en actief te beheren als onderdeel van een robuust ICT-risicomanagementkader.

De Europese toezichthouders hebben deze verplichting opgelegd omdat de financiële sector steeds afhankelijker wordt van digitale systemen en externe IT-dienstverleners. Een cyberaanval of systeemstoring kan niet alleen individuele organisaties raken, maar ook de stabiliteit van het hele financiële systeem in gevaar brengen. DORA creëert daarom een uniform regelgevingskader binnen de EU dat versnippering en dubbele regels voorkomt door heldere, uniforme eisen te stellen.

Het verschil met traditioneel risicomanagement zit in de specifieke focus op ICT-risico’s en digitale weerbaarheid. Waar traditioneel risicomanagement zich richt op financiële en operationele risico’s in brede zin, vereist DORA een diepgaande analyse van netwerk- en informatiesysteembeveiliging. Organisaties moeten niet alleen aantonen dat ze maatregelen hebben geïmplementeerd, maar ook dat deze maatregelen effectief werken. Dit vereist een proactieve aanpak, waarbij risico-identificatie een continu proces is en geen eenmalige exercitie.

Welke categorieën ICT-risico’s moet je identificeren volgens DORA?

DORA vereist dat je vijf hoofdcategorieën ICT-risico’s identificeert: cybersecurityrisico’s, risico’s bij uitbesteding aan derde partijen, risico’s rondom ICT-systemen en -infrastructuur, datarisico’s en risico’s gerelateerd aan ICT-incidenten. Deze categorieën vormen samen het fundament van je risicomanagementframework.

Cybersecurityrisico’s omvatten bedreigingen zoals malware, ransomware, phishingaanvallen en ongeautoriseerde toegang tot systemen. Je moet identificeren welke systemen kwetsbaar zijn en welke dreigingen het meest waarschijnlijk zijn voor jouw organisatie.

Risico’s bij uitbesteding aan derden betreffen de afhankelijkheid van externe IT-dienstverleners, zoals cloudproviders, softwareleveranciers en datacentra. DORA erkent dat financiële instellingen vaak sterk afhankelijk zijn van deze partijen en dat zij daarom ook een rol spelen in de digitale weerbaarheid van de sector.

ICT-systeem- en infrastructuurrisico’s gaan over de betrouwbaarheid en beschikbaarheid van je technische omgeving. Denk aan verouderde hardware, onvoldoende capaciteit of single points of failure in je architectuur.

Datarisico’s betreffen de integriteit, beschikbaarheid en vertrouwelijkheid van gegevens. Dit omvat risico’s rondom dataverlies, ongeautoriseerde toegang en non-compliance met privacywetgeving.

Incidentgerelateerde risico’s richten zich op de mogelijke impact van ICT-incidenten en de capaciteit om hierop adequaat te reageren. Deze categorieën hangen nauw samen: een cybersecurityincident bij een externe leverancier kan bijvoorbeeld leiden tot dataverlies en systeemuitval bij jouw organisatie.

Hoe voer je een effectieve DORA-risico-inventarisatie uit?

Een effectieve DORA-risico-inventarisatie begint met het in kaart brengen van alle kritieke ICT-assets en -processen binnen je organisatie. Vervolgens identificeer je bedreigingen en kwetsbaarheden, beoordeel je de risico’s en documenteer je de bevindingen conform de DORA-vereisten. Dit proces verloopt het beste via een gestructureerde aanpak.

De eerste stap is het opstellen van een compleet overzicht van je ICT-landschap. Dit omvat hardware, software, netwerken, data en de processen die hiervan afhankelijk zijn. Bepaal welke assets kritiek zijn voor je bedrijfsvoering en welke impact uitval zou hebben. Een effectieve baseline assessment maakt gebruik van een normenkader, waarbij de scope van processen of risico’s in samenwerking met de organisatie wordt bepaald.

Vervolgens identificeer je de bedreigingen die deze assets kunnen raken. Denk aan externe dreigingen zoals cyberaanvallen, maar ook interne risico’s zoals menselijke fouten of procesmatige tekortkomingen. Koppel deze bedreigingen aan de kwetsbaarheden in je systemen en processen. De assessment omvat interviews, documentonderzoek en inspectie van beleidsdocumenten, procedures, uitgevoerde controls en configuraties.

De risicobeoordeling bepaalt de waarschijnlijkheid en impact van elk geïdentificeerd risico. Gebruik hiervoor een consistente methodiek die je kunt uitleggen aan toezichthouders. Documenteer niet alleen de risico’s zelf, maar ook de onderbouwing van je beoordeling en de maatregelen die je neemt om risico’s te beheersen. Een helder rapport identificeert zowel de belangrijkste aandachtspunten met bijbehorende aanbevelingen als wat de organisatie al goed doet.

Welke risico’s bij externe ICT-dienstverleners moet je in kaart brengen?

Bij externe ICT-dienstverleners moet je risico’s identificeren rondom continuïteit, beveiliging, concentratie en contractuele naleving. DORA vereist strikt beheer van IT-dienstverleners om continuïteit en veiligheid te waarborgen, ook bij afhankelijkheid van externe partijen. Dit geldt voor cloudproviders, softwareleveranciers, datacentra en andere kritieke dienstverleners.

Het register van uitbestedingsovereenkomsten vormt de basis voor third-party-risicomanagement. Hierin documenteer je alle contracten met externe ICT-dienstverleners, inclusief de aard van de dienstverlening, de kritikaliteit voor je bedrijfsvoering en de contractuele afspraken over beveiliging en continuïteit. Externe leveranciers moeten voldoen aan dezelfde beveiligingsstandaarden als de financiële instelling zelf.

Concentratierisico’s verdienen bijzondere aandacht. Als meerdere kritieke functies afhankelijk zijn van dezelfde leverancier, of als de hele sector afhankelijk is van een beperkt aantal grote providers, ontstaat een systemisch risico. Je moet identificeren waar deze concentraties bestaan en welke alternatieven beschikbaar zijn bij uitval.

Beoordeel ook de risico’s in de keten: welke partijen schakelt jouw leverancier in en welke risico’s brengt dit met zich mee? Maak contractuele afspraken die digitale weerbaarheid waarborgen en houd toezicht op de prestaties van je leveranciers. Dit helpt financiële instellingen hun verantwoordelijkheid voor digitale weerbaarheid te behouden, zelfs wanneer zij gebruikmaken van externe IT-diensten.

Wat zijn de meest voorkomende fouten bij DORA-risico-identificatie?

De meest voorkomende fouten bij DORA-risico-identificatie zijn het onderschatten van ketenrisico’s, een onvolledige asset-inventarisatie, onvoldoende betrokkenheid van het bestuur en het niet regelmatig actualiseren van de risicoanalyse. Deze valkuilen kunnen leiden tot onaangename verrassingen bij toekomstig onderzoek door toezichthouders.

Veel organisaties focussen te sterk op hun eigen systemen en onderschatten de risico’s die via externe leveranciers binnenkomen. Een leverancier die zelf weer afhankelijk is van andere partijen, kan een risico vormen dat niet direct zichtbaar is. Breng daarom de volledige keten in kaart.

Een onvolledige asset-inventarisatie betekent dat je risico’s mist. Schaduw-IT, verouderde systemen die nog wel draaien of koppelingen met externe partijen die niet gedocumenteerd zijn: allemaal potentiële bronnen van risico die buiten beeld blijven als je inventarisatie niet compleet is.

DORA vereist betrokkenheid van het bestuur bij ICT-risicomanagement. Wanneer de directie dit als een puur technische aangelegenheid beschouwt, ontbreekt het strategische perspectief en de benodigde resources voor adequate risicobeheersing.

Tot slot is risico-identificatie geen eenmalige exercitie. Het dreigingslandschap verandert continu, net als je eigen ICT-omgeving. Organisaties die hun risicoanalyse niet regelmatig actualiseren, werken met verouderde informatie en missen nieuwe risico’s.

Hoe vaak moet je risico’s opnieuw beoordelen onder DORA?

Onder DORA moet je risico’s minimaal jaarlijks opnieuw beoordelen, maar ook na significante wijzigingen in je ICT-omgeving of na incidenten. De frequentie hangt af van de aard van je organisatie en de dynamiek van je risicoprofiel. Een actueel risicoprofiel is essentieel voor effectief risicomanagement.

Periodieke reviews zorgen ervoor dat je risicoanalyse blijft aansluiten bij de werkelijkheid. Nieuwe systemen, gewijzigde processen of veranderende dreigingen kunnen het risicoprofiel beïnvloeden. Plan daarom vaste momenten voor herbeoordeling in je jaarkalender.

Trigger-based herbeoordelingen zijn verplicht na bepaalde gebeurtenissen. Een significant ICT-incident, een grote wijziging in je IT-infrastructuur, het aangaan van een nieuwe uitbestedingsrelatie of veranderingen in het dreigingslandschap zijn allemaal redenen om je risicoanalyse te actualiseren.

De documentatieverplichtingen onder DORA vereisen dat je niet alleen de risico’s vastlegt, maar ook de herbeoordelingen en de onderbouwing daarvan. Toezichthouders willen zien dat je risicomanagement een levend proces is en geen papieren exercitie. Leg daarom vast wanneer je welke risico’s hebt beoordeeld, welke methodiek je hebt gebruikt en welke conclusies je hebt getrokken.

Hoe helpt Hoek en Blok IT bij DORA-risico-identificatie?

Hoek en Blok IT ondersteunt financiële instellingen bij het opzetten en uitvoeren van DORA-conforme risico-identificatie. Met NOREA-gecertificeerde EDP-auditors en specialisten in IT-security combineren we technische expertise met auditervaring voor een pragmatische aanpak.

De dienstverlening omvat:

  • DORA-gap-analyses: identificatie van hiaten tussen je huidige situatie en de DORA-vereisten, met concrete aanbevelingen voor verbetering
  • IT-securityassessments: technische beoordeling van je ICT-omgeving om kwetsbaarheden en risico’s in kaart te brengen
  • Ondersteuning bij risicomanagementframeworks: hulp bij het opzetten van een gestructureerd kader voor ICT-risicobeheer conform DORA
  • IT Security Officer as a Service: flexibele inzet van security-expertise voor organisaties die geen fulltime specialist in dienst hebben
  • Third-party-riskassessments: beoordeling van risico’s bij externe ICT-dienstverleners en ondersteuning bij leveranciersbeheer

Neem contact op voor een vrijblijvend gesprek over hoe je organisatie zich kan voorbereiden op de DORA-vereisten voor risico-identificatie.

Hoe documenteer je NIS2 compliance?Open compliance-handboek met officiële documenten en vulpen op georganiseerd kantoorbureau, laptop met datatabellen op achtergrondProfessionele handen onderzoeken risicobeoordelingsdocumenten met vergrootglas op modern bureau, EU-vlagkleuren in presse-papierHoe voer je een NIS2 risicoanalyse uit?