Wat is DORA?
De Digital Operational Resilience Act (DORA) is een Europese verordening. Doel is het versterken van de cyber- en operationele weerbaarheid van de financiële sector. DORA stelt eisen aan financiële instellingen met betrekking tot het beheer van securityrisico's, het rapporteren van incidenten en het testen en verbeteren van de weerbaarheid van kritieke IT-systemen. De focus ligt op het minimaliseren van de impact van cyberaanvallen en andere verstoringen.
Waarom is DORA geïntroduceerd?
De financiële sector speelt een sleutelrol in onze economie. Als de banken plat gaan, heeft dat een effect op het gehele systeem. DORA helpt dit te voorkomen. Cybersecurity is hier een belangrijk onderdeel van. Financiële instellingen zijn immers een aantrekkelijk doelwit voor cybercriminelen, bijvoorbeeld omdat ze enorme hoeveelheden geld beheren en op grote schaal gevoelige persoonsgegevens verwerken.
DORA biedt één uniform kader waarmee financiële instellingen en hun kritieke dienstverleners de integriteit, beschikbaarheid en veiligheid van hun systemen kunnen waarborgen. Zo draagt DORA bij aan de stabiliteit van het financiële systeem.
Sinds wanneer geldt DORA?
DORA is in januari 2023 aangenomen. Organisaties kregen een overgangsperiode van twee jaar om zich voor te bereiden. Sinds 17 januari 2025 moeten alle instellingen die onder DORA vallen volledig aan de regels voldoen.
Voor welke organisaties geldt DORA?
DORA geldt voor vrijwel alle financiële instellingen, van banken en beleggingsondernemingen tot pensioenfondsen, verzekeraars en aanbieders van crypto-activa.
Bepaalde typen ondernemingen zoals accountantsorganisaties vallen niet onder DORA. Ook gelden onderdelen van de verordening niet voor micro- en kleine ondernemingen.
IT-dienstverleners vallen ook niet standaard onder DORA. Werk je samen met een kritieke IT-dienstverlener? Dan moet je in de contracten wel een ketenbeding opnemen.
Welke eisen stelt DORA?
In DORA worden de eisen onderverdeeld in 5 ‘pijlers’:
- IT-risicobeheer: uitgebreid IT-risicobeheer is onder DORA verplicht, inclusief het ontwikkelen van raamwerken om risico's te identificeren en te mitigeren. Denk hierbij bijvoorbeeld aan policies en een ITSM.
- Beheer van IT-gerelateerde incidenten: instellingen moeten incidenten en cyberdreigingen systematisch beheren en rapporteren.
- Testen van digitale weerbaarheid: DORA kent een verplichting tot regelmatig testen van de digitale weerbaarheid via onder andere penetratietesten. Hier zijn strenge richtlijnen voor. Dit wordt in DORA Threat-Led Penetration Testing (TLTP) genoemd.
- Beheer van IT-risico’s bij toeleveranciers: de verordening vereist strikte controle op IT-diensten van derden, met aandacht voor risicobeheer die ook in de contracten opgenomen moeten worden.
- Informatie-uitwisseling over cyberdreigingen: DORA moedigt informatie-uitwisseling aan over cyberdreigingen en kwetsbaarheden om de collectieve weerbaarheid te versterken.
Niet alle eisen in DORA waren volledig nieuw voor financiële instellingen. Veel van de vereisten bouwen voort op bestaande regelgeving en praktijken op het gebied van risicobeheer, cybersecurity en IT-governance.
Wie is verantwoordelijk voor compliance van IT-leveranciers?
Financiële instellingen zijn zelf verantwoordelijk voor het naleven van DORA, ook wanneer IT-diensten worden uitbesteed. Zij houden de regie over risico’s, bewaken de kwaliteit van de dienstverlening en zorgen voor een veilige, robuuste IT-omgeving. Bij kritieke diensten is het essentieel dat beleid en beheersmaatregelen actueel zijn, zodat risico’s tijdig worden herkend en aangepakt.
Valt een leverancier uit of voldoet deze niet meer, dan moet je organisatie direct kunnen schakelen. Exitplannen, noodmaatregelen en een veilige overdracht van gegevens zorgen ervoor dat de continuïteit behouden blijft, ook bij een overstap naar een andere partij.
Wil jij weten hoe andere financiële instellingen zorgen voor een weerbare keten? Meld je dan nu aan voor het webinar
Hoe verhoudt DORA zich tot de NIS2?
NIS2 is de opvolger van de oude Europese richtlijn voor ‘Network Information Security’ die in Nederland voornamelijk wordt opgenomen in de
Ook financiële instellingen vallen onder de Cbw. De ‘zorgplicht’ stelt dat ze maatregelen moeten nemen om hun netwerk- en informatiesystemen tegen incidenten te beschermen. De Cbw heeft daarmee een vergelijkbaar doel als DORA, namelijk de cyberweerbaarheid vergroten. Waar DORA specifieker is, krijgt deze wetgeving echter voorrang.
Hoe ziet het toezicht op DORA eruit?
In Nederland houden De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) toezicht op de naleving van DORA. DNB is de toezichthouder voor banken, verzekeraars en pensioenfondsen. AFM richt zich op het gedrag op de financiële markten en dus op beleggingsondernemingen en marktinfrastructuren zoals betalingssystemen, handelsplatforms en clearinghuizen.
Wat zijn de consequenties als organisaties DORA niet naleven?
Overtreed je de DORA-regels? Dan riskeer je een boete van maximaal 1% van je jaarlijkse omzet per dag dat je organisatie niet compliant is. Ook kun je te maken krijgen met het opschorten van dienstverlening, intrekking van vergunningen, reputatieschade en verlies van klantvertrouwen.
Waar begin je met DORA?
DORA is al enige tijd van kracht, maar veel financiële instellingen hebben hun keten nog niet volledig ingericht volgens de vereisten. Een effectieve start is het uitvoeren van een gap-analyse, niet alleen binnen de eigen organisatie, maar juist ook met oog voor de afhankelijkheden in de hele keten. Zo wordt duidelijk waar risico’s zitten in je IT-risicobeheerprocessen, systemen én bij externe dienstverleners.
Op basis daarvan stel je een implementatieplan op waarin de gezamenlijke weerbaarheid centraal staat. Denk aan het versterken van het IT-risicobeheerkader in samenhang met partners, het verbeteren van incidentenbeheer door duidelijke afspraken over meldingen en opvolging, en het uitvoeren van digitale weerbaarheidstesten die de hele keten omvatten.
Investeer daarnaast in securitytrainingen die niet alleen medewerkers, maar ook strategische leveranciers betrekken. Werk actief samen met IT- en cloudproviders om kwetsbaarheden vroegtijdig te signaleren en te verhelpen. Tot slot: borg de naleving door gezamenlijke audits, periodieke reviews en structurele evaluaties, zodat de keten als geheel continu sterker wordt.
Samen weerbaar
“DORA geeft financiële instellingen een krachtige impuls om hun cyber- en operationele weerbaarheid te versterken”, zegt Justin Post, director security bij KPN. “Het gaat niet alleen om compliance, maar om het structureel verhogen van de betrouwbaarheid van je dienstverlening. Door samen te werken met ketenpartners bouw je aan een robuust ecosysteem waarin risico’s beter beheersbaar worden. Zeker nu cyberincidenten steeds vaker via de keten plaatsvinden.”
Volgens Justin vraagt DORA om een integrale aanpak. “De regelgeving is complex, maar biedt ook kansen om het securityfundament van je organisatie te versterken”, legt hij uit. “Bij KPN ondersteunen we financiële instellingen onder meer bij het opzetten van risicobeheerprocessen, het trainen van medewerkers in security-awareness en het uitvoeren van weerbaarheidstesten. Zo zorgen we er niet alleen voor dat je voldoet aan de eisen, maar versterken we ook duurzaam je digitale veerkracht.”
Ben jij op zoek naar effectieve strategieën voor risicomanagement en compliance? Lees dan ons e-book over cyberweerbaarheid in de financiële sector.
