Financieel toezichthouder onderzoekt met vergrootglas een architectonisch model van Europese bankgebouwen op bureau

Wie houdt toezicht op DORA?

in

Het toezicht op DORA wordt uitgevoerd door zowel Europese als nationale toezichthouders. Op Europees niveau zijn de European Banking Authority (EBA), de European Securities and Markets Authority (ESMA) en de European Insurance and Occupational Pensions Authority (EIOPA) verantwoordelijk voor het opstellen van technische standaarden en het coördineren van toezicht. In Nederland houden De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) toezicht op de naleving van DORA door financiële instellingen.

Wat is DORA en waarom is toezicht hierop zo belangrijk?

DORA (Digital Operational Resilience Act) is een Europese verordening die financiële instellingen en hun IT-dienstverleners verplicht hun digitale operationele weerbaarheid te versterken. De wetgeving beschermt tegen cyberaanvallen en andere verstoringen die financiële diensten kunnen onderbreken. Sinds 17 januari 2025 moeten organisaties volledig voldoen aan alle DORA-vereisten.

Adequaat toezicht op DORA is om verschillende redenen essentieel. De financiële sector is sterk afhankelijk van ICT-systemen en externe dienstverleners. Een storing bij één partij kan een kettingreactie veroorzaken die de hele sector raakt. Toezichthouders moeten daarom kunnen controleren of organisaties hun ICT-risico’s effectief beheersen en hun digitale weerbaarheid op orde hebben.

DORA maakt deel uit van het EU-pakket voor digitale financiën, dat innovatie en concurrentie stimuleert terwijl risico’s worden beperkt. De wetgeving creëert een uniform beschermingsniveau binnen de Europese financiële sector. Geharmoniseerd toezicht voorkomt dat organisaties in verschillende lidstaten met tegenstrijdige eisen worden geconfronteerd.

Welke Europese toezichthouders houden toezicht op DORA?

Drie Europese toezichthoudende autoriteiten (ESA’s) zijn gezamenlijk verantwoordelijk voor het toezicht op DORA: de European Banking Authority (EBA) voor banken, de European Securities and Markets Authority (ESMA) voor effectenmarkten en de European Insurance and Occupational Pensions Authority (EIOPA) voor verzekeraars en pensioenfondsen.

Deze autoriteiten vervullen verschillende taken onder DORA:

  • Het opstellen van technische standaarden (Regulatory Technical Standards) die de DORA-vereisten verder uitwerken
  • Het publiceren van richtsnoeren voor de interpretatie en toepassing van de verordening
  • Het coördineren van toezichtactiviteiten tussen nationale toezichthouders
  • Het uitvoeren van direct toezicht op kritieke ICT-dienstverleners

Voor kritieke ICT-dienstverleners hebben de ESA’s een bijzondere rol. Wanneer een cloudprovider, softwareleverancier of datacenter als kritiek wordt aangemerkt voor de financiële sector, valt deze onder direct Europees toezicht. Dit gezamenlijke toezichtskader voorkomt dat grote ICT-dienstverleners in elk EU-land apart worden gecontroleerd.

Wie is de Nederlandse toezichthouder voor DORA?

In Nederland zijn De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) de aangewezen toezichthouders voor DORA. De verdeling van taken volgt de bestaande toezichtstructuur, waarbij DNB prudentieel toezicht houdt en de AFM gedragstoezicht uitoefent.

DNB houdt toezicht op banken, verzekeraars, pensioenfondsen en betalingsinstellingen. De AFM richt zich op beleggingsondernemingen, beheerders van beleggingsfondsen en andere partijen die onder gedragstoezicht vallen. Beide toezichthouders beschikken onder DORA over uitgebreide bevoegdheden.

De handhavingsinstrumenten omvatten:

  • Het opvragen van informatie en documentatie
  • Het uitvoeren van inspecties ter plaatse
  • Het geven van aanwijzingen om tekortkomingen te herstellen
  • Het opleggen van bestuurlijke sancties bij overtredingen

DNB heeft specifieke toezichtvragen ontwikkeld voor zowel banken als pensioenfondsen en verzekeraars. Deze vragen geven inzicht in de aandachtsgebieden van de toezichthouder en helpen organisaties zich voor te bereiden op toezichtactiviteiten.

Welke organisaties vallen onder DORA-toezicht?

DORA is van toepassing op een breed scala aan financiële entiteiten in de EU. Dit omvat banken, verzekeraars, herverzekeraars, beleggingsondernemingen, pensioenfondsen, betaaldienstverleners en elektronischegeldinstellingen. Ook crypto-assetdienstverleners en beheerders van alternatieve beleggingsfondsen vallen onder de verordening.

Daarnaast geldt DORA voor kritieke derde dienstverleners die IT-diensten leveren aan financiële instellingen. Dit betreft cloudcomputingproviders, softwareleveranciers en datacentra die essentiële diensten verlenen. De wetgeving erkent dat financiële instellingen vaak afhankelijk zijn van externe IT-dienstverleners.

Het proportionaliteitsbeginsel speelt een belangrijke rol bij het toezicht. Kleinere organisaties met een lager risicoprofiel hoeven niet aan dezelfde gedetailleerde eisen te voldoen als grote, systeemrelevante instellingen. De toezichthouder houdt rekening met:

  • Omvang en complexiteit van de organisatie
  • Aard en risicoprofiel van de activiteiten
  • Mate van afhankelijkheid van ICT-systemen
  • Systeemrelevantie binnen de financiële sector

Wat zijn de belangrijkste toezichtgebieden onder DORA?

Toezichthouders richten zich op vijf pijlers van digitale operationele weerbaarheid. Het ICT-risicobeheer vereist dat organisaties een risicobeheerkader inrichten om digitale dreigingen te beheersen en klantgegevens te beschermen. Regelmatige risicobeoordelingen zijn verplicht om systemen en data veilig te houden.

De ICT-gerelateerde incidentenrapportage verplicht organisaties tot snelle opsporing en melding van IT-incidenten. Dit beperkt schade en helpt toezichthouders patronen in cyberdreigingen te herkennen. Meldingen moeten binnen vastgestelde termijnen plaatsvinden.

Digitale operationele weerbaarheidstesten vormen de derde pijler. Organisaties moeten hun weerbaarheid regelmatig testen, inclusief penetratietests door ethical hackers. Voor systeemrelevante instellingen gelden aanvullende eisen voor threat-led penetration testing.

Het ICT-risicobeheer bij derde partijen vereist strikt beheer van IT-dienstverleners. Contractuele afspraken moeten digitale weerbaarheid waarborgen. Externe leveranciers moeten voldoen aan dezelfde beveiligingsstandaarden als de financiële instelling zelf.

De vijfde pijler betreft informatie-uitwisseling over cyberdreigingen. Actief delen van dreigingsinformatie helpt de sector sneller te reageren op nieuwe risico’s.

Welke sancties kunnen toezichthouders opleggen bij DORA-overtredingen?

Toezichthouders beschikken over een breed scala aan handhavingsinstrumenten bij DORA-overtredingen. Administratieve boetes kunnen oplopen tot aanzienlijke bedragen, afhankelijk van de ernst van de overtreding en de omvang van de organisatie. Dwangsommen kunnen worden opgelegd om naleving af te dwingen.

Bij minder ernstige tekortkomingen geven toezichthouders doorgaans eerst aanwijzingen om verbeteringen door te voeren. Organisaties krijgen dan een redelijke termijn om hun compliance op orde te brengen. Herhaalde of ernstige overtredingen leiden tot zwaardere sancties.

In uitzonderlijke gevallen kan de toezichthouder overgaan tot intrekking van vergunningen. Dit is het zwaarste instrument en wordt alleen ingezet wanneer andere maatregelen onvoldoende effect hebben gehad.

Factoren die toezichthouders meewegen bij handhavingsbeslissingen:

  • Ernst en duur van de overtreding
  • Mate van verwijtbaarheid
  • Financiële draagkracht van de organisatie
  • Eerdere overtredingen en bereidheid tot medewerking
  • Daadwerkelijke schade voor klanten of de financiële sector

Hoe bereidt u uw organisatie voor op DORA-toezicht?

Een gedegen voorbereiding op DORA-toezicht begint met een gapanalyse. Breng in kaart waar uw organisatie staat ten opzichte van de DORA-vereisten en identificeer welke risico’s of maatregelen nog nodig zijn om voldoende digitale weerbaarheid te bereiken. Dit geeft richting aan uw implementatie-inspanningen.

Implementeer vervolgens een ICT-risicomanagementframework dat voldoet aan DORA-normen en aansluit bij uw organisatiespecifieke behoeften. Dit framework moet digitale dreigingen beheersen en periodiek worden geëvalueerd op effectiviteit.

Richt processen in voor incidentrapportage, zodat u IT-incidenten snel kunt detecteren en melden. Documenteer deze processen zorgvuldig en train medewerkers in het herkennen en escaleren van incidenten.

Stel een testprogramma op voor digitale weerbaarheid. Dit omvat regelmatige penetratietests en, afhankelijk van uw risicoprofiel, threat-led penetration testing. Zorg dat testresultaten worden gedocumenteerd en verbeterpunten worden opgepakt.

Herzie contracten met ICT-leveranciers om te waarborgen dat zij voldoen aan DORA-eisen. Maak afspraken over auditrechten, incidentmelding en continuïteit van dienstverlening.

Hoe helpt Hoek en Blok IT bij DORA-toezicht en compliance?

Hoek en Blok IT ondersteunt organisaties bij elke stap van DORA-implementatie en voorbereiding op toezicht. Met NOREA-gecertificeerde IT-auditors en ruime ervaring in de financiële sector bieden wij praktische begeleiding zonder onnodige administratieve lasten.

Onze dienstverlening omvat:

  • DORA-gapanalyses en readiness assessments om uw huidige positie te bepalen en prioriteiten te stellen
  • Ondersteuning bij het opzetten van ICT-risicomanagementframeworks die voldoen aan DORA-normen
  • Uitvoering van verplichte penetratietests en ethical hacking door ervaren specialisten
  • Begeleiding bij incidentrapportageprocessen en communicatie met toezichthouders
  • IT Security Officer as a Service voor doorlopende compliance-ondersteuning
  • Monitoringstructuren die zichtbaarheid bieden op de periodieke uitvoering van maatregelen en hun effectiviteit

Wilt u weten hoe uw organisatie ervoor staat en welke stappen nodig zijn voor DORA-compliance? Neem contact op voor een vrijblijvend gesprek over uw specifieke situatie.