DORA begrijpen

Als u in de financiële sector werkt, is DORA al van kracht. Dit betekent het in de praktijk.

DORA, de Digital Operational Resilience Act, is een EU-verordening die vereist dat financiële instellingen bestand zijn tegen, kunnen reageren op en kunnen herstellen van IT-verstoringen. Of het nu gaat om een cyberaanval, een systeemstoring of een kritieke leverancier die uitvalt.

Anders dan een richtlijn (die elk EU-land anders implementeert) is DORA een verordening. Deze geldt rechtstreeks en uniform in de hele EU en is van kracht sinds 17 januari 2025.

De financiële sector draait op technologie. Als die technologie faalt, rimpelen de gevolgen door de hele economie. DORA zorgt ervoor dat financiële organisaties niet alleen hopen dat hun IT standhoudt. Ze moeten het bewijzen.

Voor wie geldt DORA?

Financiële entiteiten

  • Banken en kredietinstellingen
  • Verzekerings- en herverzekeringsmaatschappijen
  • Beleggingsondernemingen
  • Betalingsdienstverleners
  • Elektronischgeldinstellingen
  • Pensioenfondsen
  • Crypto-activadienstverleners
  • Kredietbeoordelaars
  • Effectenbeurzen

ICT-dienstverleners

DORA stopt niet bij financiële instellingen. Als u cloud-, software-, data- of infrastructuurdiensten levert aan de financiële sector, raakt DORA u ook. Hetzij rechtstreeks (als u als "kritiek" wordt aangemerkt) of indirect via contractuele eisen die uw klanten moeten opleggen.

Proportionaliteit geldt: de vereisten schalen mee met uw omvang, complexiteit en risicoprofiel.

DORA vs NIS2

Als uw organisatie onder DORA valt, bent u vrijgesteld van NIS2 voor cybersecurity. DORA wordt beschouwd als de meer specifieke verordening. Als u echter zowel in de financiële sector als in andere sectoren onder NIS2 actief bent, kan het zijn dat u aan beide moet voldoen voor verschillende onderdelen van uw bedrijf.

De vijf pijlers van DORA

DORA is opgebouwd rond vijf kernvereisten.

1. ICT-risicobeheer

U heeft een uitgebreid raamwerk nodig voor het identificeren, beheersen en mitigeren van IT-risico's. Dat omvat gedocumenteerd beleid, gedefinieerde rollen en verantwoordelijkheden, regelmatige risicobeoordelingen en continuïteitsplanning. Uw bestuur moet actief betrokken zijn, niet alleen tekenen bij het kruisje maar begrijpen en toezicht houden.

2. Incidentrapportage

Belangrijke IT-gerelateerde incidenten moeten worden gemeld bij uw toezichthouder. DORA standaardiseert wat "belangrijk" betekent en hoe snel u moet melden. U heeft ook solide interne processen nodig voor het detecteren, classificeren en escaleren van incidenten.

3. Weerbaarheidstesten

U kunt niet alleen beweren dat uw systemen weerbaar zijn. U moet het testen. DORA vereist regelmatige tests, waaronder scenariogebaseerde oefeningen. Voor significante financiële instellingen gaat dit verder met threat-led penetration testing (TLPT): realistische aanvalssimulaties uitgevoerd door gekwalificeerde teams.

4. Beheer van risico's bij derden

Als u afhankelijk bent van externe IT-leveranciers (en dat is vrijwel iedereen), heeft u gestructureerd toezicht nodig. Houd een register bij van alle ICT-dienstverlenerovereenkomsten, voer due diligence uit, neem specifieke clausules op in contracten (auditrechten, exitstrategieën, incidentnotificatie) en monitor continu de prestaties van leveranciers.

5. Informatie-uitwisseling

Financiële entiteiten worden aangemoedigd om dreigingsinformatie te delen met branchegenoten en autoriteiten. De verordening creëert een raamwerk voor gestructureerde, vertrouwde uitwisseling van informatie over dreigingen en kwetsbaarheden.

Sancties

Toezichthouders kunnen de volgende sancties opleggen:

  • Boetes tot 2% van de wereldwijde jaaromzet of EUR 10 miljoen voor entiteiten
  • Boetes tot EUR 1 miljoen voor individuele bestuurders
  • Operationele beperkingen en publieke verklaringen

Voor kritieke ICT-dienstverleners kunnen de Europese toezichthouders aanvullende eisen en herstelmaatregelen opleggen.

Wat moet u nu doen?

DORA is geen toekomstige verplichting. Het is al van kracht. Als u nog niet bent begonnen, is het moment nu.

  • Beoordeel uw scope - Bevestig welke DORA-vereisten op uw organisatie van toepassing zijn en op welk niveau.
  • Beoordeel ICT-risicobeheer - Heeft u een gedocumenteerd, door het bestuur goedgekeurd raamwerk dat alle gebieden dekt die DORA vereist?
  • Breng uw derden in kaart - Bouw het register van ICT-dienstverlenerovereenkomsten en beoordeel het risico dat elke leverancier vertegenwoordigt.
  • Controleer uw contracten - Bevatten uw ICT-leveranciersovereenkomsten auditrechten, exitstrategieën en incidentnotificatie?
  • Plan uw tests - Stel een weerbaarheidstestprogramma op, inclusief voorbereiding op TLPT indien van toepassing.
  • Bereid uw bestuur voor - Zorg dat het management zijn toezichthoudende rol onder DORA begrijpt.

Hoe EnableNext kan helpen

Wij helpen financiële organisaties en hun IT-dienstverleners om DORA praktisch te maken. Regelgeving vertalen naar beveiligingsmaatregelen die daadwerkelijk de weerbaarheid verbeteren.

  • DORA readiness assessment - Begrijp waar u staat en wat als eerste aandacht nodig heeft.
  • ICT-risicobeheer - Bouw of versterk uw aanpak van IT-risico met frameworks die werken in de praktijk.
  • Beheer risico's bij derden - Registers opzetten, leveranciers beoordelen en contracten aanpassen aan DORA-vereisten.
  • Weerbaarheidsteststrategie - Ontwerp en bereid testprogramma's voor inclusief threat-led penetration testing.

Hulp nodig bij DORA-compliance?

Neem contact op om te bespreken hoe DORA op uw organisatie van toepassing is.

Neem contact op