CONTACT

Actueel

Nieuws & updates

Digital Operational Resilience Act (DORA) - samenvatting

[leestijd: ca. 6 min] Wil je in één keer helder hebben wat DORA van je vraagt? Dan zit je hier goed. In dit artikel vind je alle relevante informatie overzichtelijk bij elkaar – puntig, compleet en zonder jargon. Van de verplichtingen waar je aan moet voldoen, tot welke organisaties ermee te maken hebben en hoe je jouw organisatie voorbereidt.

DORA – voluit: Digital Operational Resilience Act – is een Europese verordening die digitale weerbaarheid in de financiële sector versterkt. Denk aan bescherming tegen cyberdreigingen, uitval van systemen en datalekken.

Sinds 2023 is DORA officieel van kracht. Vanaf 17 januari 2025 moeten alle betrokken organisaties aantoonbaar compliant zijn. Daarbij geldt DORA zowel voor je eigen digitale veiligheid en veerkracht, als die van je leveranciers

Wat zijn de verplichtingen van DORA?

DORA bevat de volgende 5 kernverplichtingen: 
- ICT-risicobeheer
Als organisatie stel je duidelijke kaders op waarmee je ICT-risico's beheersbaar houdt. Je monitort systemen continu, beheert kwetsbaarheden actief en verdeelt de verantwoordelijkheden en rollen helder binnen het team.

- Incidentrapportage
Je moet ernstige ICT-incidenten binnen strakke termijnen melden aan de toezichthouder. Daarnaast moet je bijhouden wat je leert van incidenten en je aanpak blijven verbeteren.

- Testen van digitale weerbaarheid

Je moet regelmatig tests uitvoeren en op die manier je weerbaarheid toetsen. Denk aan kwetsbaarheidsscans, penetratietests en – voor grotere instellingen – geavanceerde dreigingssimulaties (TLPT). 

- Beheer van ICT-dienstverleners
Je blijft altijd zelf verantwoordelijk voor uitbestede diensten. Dit houdt in dat je heldere afspraken maakt, goede contracten opstelt en toezicht houdt op je leveranciers. Zorg ook voor een gedegen exitstrategie.

- Informatie-uitwisseling
Deel onder voorwaarden informatie over cyberdreigingen met andere partijen. Zo versterk je samen het collectieve veiligheidsniveau.

Voor wie geldt DORA?

DORA geldt voor een brede groep organisaties in de financiële sector, zoals:
- Banken
- Verzekeraars
- Pensioenfondsen
- Beleggingsinstellingen
- Betaalinstellingen
- Accountantsorganisaties

Iedereen in de keten moet voldoen aan DORA. Om die reden hebben ook andere partijen die diensten leveren aan bijvoorbeeld een bank of verzekeraar hiermee te maken. 
DORA geldt bovendien overal in Europa, ongeacht waar je hoofdkantoor staat. Ben je in meerdere EU-landen actief? Dan val je onder het toezicht van meerdere nationale toezichthouders.

Gelden alle regels voor DORA voor mijn organisatie?

Niet alle verplichtingen gelden in gelijke mate voor iedere organisatie. Wat voor jou geldt, hangt af van:
- de grootte van je organisatie
- het type diensten dat je levert
- het risicoprofiel van je organisatie
Toezichthouders kijken naar de impact die jouw organisatie kan hebben op het financiële systeem. Hoe groter die impact, hoe zwaarder de eisen. Maar ook kleinere organisaties moeten kunnen aantonen dat ze in control zijn.

Hoe bereid ik me voor op DORA?

De deadline voor compliance was 17 januari 2025. Vanaf dat moment kunnen toezichthouders als De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) handhaven.

Voldoe je niet? Dan riskeer je meer dan een boete. Denk aan reputatieschade, verlies van vertrouwen bij klanten of zakelijke partners, en mogelijk zelfs het (tijdelijk) moeten stoppen van bepaalde activiteiten. Wat de schade is verschilt natuurlijk per organisatie, maar het kan flink oplopen.

Voorbereiding begint bij bewustwording: weet waar je staat, wat er nog moet gebeuren en wie je erbij nodig hebt. Zorg dat je plan van aanpak klaar ligt – inclusief heldere rolverdeling en ondersteuning vanuit IT, security en legal.

Hoe maak je een digitale weerbaarheidsstrategie voor DORA?

Een goede strategie om DORA-compliant te worden bestaat uit deze stappen:
- Assessment
Breng in kaart waar je organisatie nu staat op het gebied van digitale weerbaarheid.

- Gap-analyse
Vergelijk je huidige situatie met de DORA-verplichtingen: wat ontbreekt er nog?

- Plan van aanpak
Stel een concreet stappenplan op, met prioriteiten, mijlpalen en betrokken rollen.

- Testen en oefenen
Voer kwetsbaarheidstests uit, oefen met incidentscenario’s en evalueer de uitkomsten.

- Leveranciers betrekken
Evalueer contracten, maak afspraken en leg verantwoordelijkheden goed vast.

- Continue monitoring en bijsturing
Zorg dat digitale weerbaarheid geen project is, maar een structureel proces

Veelgestelde vragen over DORA

- Is DORA een wet?
Niet letterlijk een nationale wet, maar een EU-verordening. Deze geldt in alle lidstaten.

- Wat betekent DORA voor banken?
Voor banken betekent DORA: zwaardere eisen aan ICT-beheer, incidentenregistratie en leverancierscontrole. Ook moeten ze regelmatig geavanceerde testen uitvoeren.

- Moet ik ook nog naar ISO 27001 kijken nu DORA geldt?
Ja, ISO 27001 blijft relevant. De norm sluit goed aan op de eisen van DORA en kan helpen bij de inrichting van je processen.

- Mijn organisatie heeft naast DORA ook nog een verplichting rondom NIS2. Hoe pak ik dit het beste aan?
Zorg voor samenhang in je aanpak. Veel eisen overlappen, dus het loont om een gecombineerde aanpak te kiezen waarbij je beide kaders meeneemt.

- Waar vind ik de gegevens die ik moet gebruiken om te rapporteren voor DORA?
Die gegevens komen uit je eigen monitoringtools, auditlogs en incidentregistraties. Zorg dat deze systemen goed op elkaar aansluiten.

- Kan ik de implementatie van DORA zelf?
Dat hangt af van je interne capaciteit. Veel organisaties kiezen voor ondersteuning van een externe specialist om zeker te weten dat ze niets over het hoofd zien.

Hulp nodig bij de implementatie van DORA?

De implementatie van DORA vraagt om expertise, tijd en overzicht. Veel organisaties hebben niet alles zelf in huis – en dat is logisch. VX helpt organisaties al meer dan 20 jaar met het versterken van hun digitale weerbaarheid. Van nulmeting tot leveranciersafspraken.

Checklist
Wil je stappen gaan maken en ontdekken hoe jouw IT-leverancier scoort op DORA-compliance? Vraag onze overzichtelijke, gratis checklist aan met 9 vragen die je nu moet stellen.

Wout van Dieren

Als servicemanager is Wout het eerste aanspreekpunt voor klanten. De expertise van Wout ligt in het samenbrengen van klantvragen met de gewenste oplossing. Daarnaast komt Wout graag in gesprek met u over de totale dienstverlening van VX Company Managed Services.