DORA: Wat is de Digital Operational Resilience Act en geldt het voor jou?
Artikel inhoud
DORA (Digital Operational Resilience Act) is een Europese verordening die financiele instellingen verplicht om hun digitale weerbaarheid te waarborgen. DORA is van toepassing sinds 17 januari 2025 en geldt voor banken, verzekeraars, beleggingsondernemingen, betaalinstellingen en hun kritieke ICT-dienstverleners. De verordening stelt eisen aan ICT-risicobeheer, incidentmelding, weerbaarheidstests en leveranciersbeheer.
Wat is DORA?
DORA is een EU-verordening die sinds 17 januari 2025 van toepassing is in alle EU-lidstaten, inclusief Nederland. Anders dan een richtlijn (zoals NIS2) hoeft een verordening niet omgezet te worden naar nationale wetgeving: DORA geldt direct.
De kern van DORA is eenvoudig: de financiele sector moet blijven functioneren, ook als ICT-systemen onder druk staan. Dat betekent niet alleen "we hebben een backup", maar een structurele, aantoonbare aanpak van digitale weerbaarheid. Van risicobeheer tot testen, van incidentmelding tot leveranciersbeheer.
DORA is het antwoord van de EU op de toenemende afhankelijkheid van de financiele sector van digitale systemen en externe ICT-dienstverleners. Een storing bij een cloudprovider of een ransomware-aanval op een bank kan het hele financiele systeem raken.
Voor wie geldt DORA?
DORA geldt voor een breed scala aan financiele entiteiten in Nederland en de rest van de EU:
- Banken en kredietinstellingen
- Verzekeraars en herverzekeraars
- Beleggingsondernemingen
- Betaalinstellingen en e-geldinstellingen
- Pensioenfondsen
- Cryptodienstverleners
- Centrale tegenpartijen (CCP's)
- Handelsplatformen
- Kredietbeoordelaars
Belangrijk: DORA geldt ook voor kritieke ICT-dienstverleners van deze instellingen. Als je cloudprovider, softwareleverancier of managed service provider bent voor financiele instellingen, kun je als "kritieke derde partij" onder direct Europees toezicht vallen. De Europese Toezichthouders (ESA's) stellen een register op van kritieke ICT-dienstverleners.
De 5 pijlers van DORA
DORA is opgebouwd rond vijf kernpijlers:
1. ICT-risicobeheer
Financiele instellingen moeten een robuust ICT-risicobeheerframework hebben. Dit omvat: identificatie van alle ICT-assets en risico's, beschermingsmaatregelen, detectiecapaciteiten, respons- en herstelprocedures, en een leercyclus. Het bestuur is verantwoordelijk voor de goedkeuring en het toezicht op dit framework.
2. ICT-gerelateerde incidentmelding
DORA vereist een gestandaardiseerd proces voor het classificeren, registreren en melden van ICT-gerelateerde incidenten. Ernstige incidenten moeten gemeld worden bij de bevoegde toezichthouder. In Nederland zijn dat DNB en AFM, afhankelijk van het type instelling. De meldtermijnen zijn: initiële melding, tussentijdse rapportage en een eindrapport.
3. Testen van digitale weerbaarheid
Alle DORA-plichtige instellingen moeten regelmatig hun digitale weerbaarheid testen. Dit omvat vulnerability assessments, netwerkscans, code reviews en scenariotests. Grote en systeemrelevante instellingen moeten daarnaast elke drie jaar een Threat-Led Penetration Test (TLPT) uitvoeren.
4. Beheer van ICT-derdenrisico
DORA stelt strenge eisen aan het beheer van ICT-leveranciers. Financiele instellingen moeten een register bijhouden van alle ICT-contracten, risico's beoordelen van uitbesteding, contractuele eisen stellen aan leveranciers (waaronder exit-strategieen) en de prestaties van leveranciers monitoren.
5. Informatie-uitwisseling
DORA moedigt financiele instellingen aan om dreigingsinformatie te delen met andere organisaties in de sector. Dit is optioneel maar wordt sterk aanbevolen. Door threat intelligence te delen, kunnen instellingen gezamenlijk sneller reageren op nieuwe dreigingen.
TLPT uitgelegd
TLPT (Threat-Led Penetration Testing) is een van de meest besproken onderdelen van DORA. Het is een geavanceerde penetratietest op basis van actuele dreigingsinformatie (threat intelligence). Anders dan een standaard pentest simuleert een TLPT de tactieken, technieken en procedures (TTP's) van echte dreigingsactoren die het specifiek op de financiele sector hebben gemunt.
Kenmerken van een TLPT:
- Gebaseerd op specifieke threat intelligence voor de instelling
- Test kritieke functies en systemen ("live" productieomgeving)
- Uitgevoerd door gecertificeerde, onafhankelijke testers
- Elke 3 jaar verplicht voor significante instellingen
- Volgt het TIBER-EU framework (in Nederland: TIBER-NL)
DEFION voert TLPT/TIBER-tests uit voor Nederlandse financiele instellingen, met teams die beschikken over CREST, OSCP en GIAC-certificeringen.
DORA vs NIS2
DORA en NIS2 overlappen deels, maar hebben een andere focus en doelgroep:
| DORA | NIS2 | |
|---|---|---|
| Type | EU-verordening (direct van toepassing) | EU-richtlijn (omzetting naar nationale wet) |
| Van toepassing sinds | 17 januari 2025 | Verwacht Q2 2026 (NL) |
| Doelgroep | Financiele sector + ICT-dienstverleners | 18 essentiële en belangrijke sectoren |
| Focus | ICT-weerbaarheid financiele sector | Brede cybersecurity alle sectoren |
| TLPT verplicht | Ja (significante instellingen) | Nee (maar pentests aanbevolen) |
| Leverancierstoezicht | Direct EU-toezicht op kritieke ICT-providers | Supply chain verplichtingen |
| Lex specialis | Ja (gaat voor op NIS2 voor financiele sector) | Algemene richtlijn |
Voor financiele instellingen geldt DORA als "lex specialis": waar DORA en NIS2 overlappen, gaat DORA voor. Maar als je als financiele instelling ook onder NIS2 valt, moet je voldoen aan de strengste eis van beide.
Checklist: Ben je DORA-compliant?
Gebruik deze checklist als vertrekpunt voor je DORA-compliance:
- ☐ ICT-risicobeheerframework is geimplementeerd en goedgekeurd door het bestuur
- ☐ Alle ICT-assets zijn geinventariseerd en geclassificeerd
- ☐ Incidentclassificatie- en meldprocessen zijn ingericht
- ☐ Regelmatige weerbaarheidstests worden uitgevoerd (vulnerability scans, pentests)
- ☐ TLPT is gepland (als je als significante instelling bent aangemerkt)
- ☐ Register van alle ICT-contracten met derde partijen is bijgewerkt
- ☐ Exit-strategieen voor kritieke leveranciers zijn vastgelegd
- ☐ Business continuity en disaster recovery plannen zijn getest
- ☐ Het bestuur is aantoonbaar betrokken bij ICT-risicobeheer
- ☐ Informatie-uitwisseling met de sector is overwogen
Veelgestelde vragen over DORA
Is DORA al van kracht?
Ja. DORA is van toepassing sinds 17 januari 2025. Als EU-verordening geldt DORA direct in alle lidstaten, zonder nationale omzetting. Financiele instellingen in Nederland moeten nu al voldoen aan de DORA-vereisten.
Geldt DORA ook voor mijn organisatie als ik geen bank ben?
Mogelijk wel. DORA geldt voor een breed scala aan financiele entiteiten, niet alleen banken. Verzekeraars, pensioenfondsen, betaaldienstverleners en zelfs cryptopartijen vallen eronder. Daarnaast geldt DORA voor ICT-dienstverleners die als "kritiek" worden aangemerkt door Europese toezichthouders.
Wat zijn de sancties bij niet-naleving van DORA?
De sancties worden opgelegd door nationale toezichthouders (in Nederland: DNB en AFM). Deze kunnen bestaan uit corrigerende maatregelen, boetes en in ernstige gevallen beperkingen op bedrijfsactiviteiten. De exacte hoogte van boetes hangt af van de nationale implementatie van het sanctieregime.
Moet ik een TLPT uitvoeren?
TLPT is verplicht voor significante financiele instellingen, aangewezen door de toezichthouder. Dit zijn typisch de grotere banken, verzekeraars en infrastructuurproviders. Kleinere instellingen hoeven geen TLPT uit te voeren, maar moeten wel reguliere weerbaarheidstests doen.
Hoe verhoudt DORA zich tot bestaande DNB-richtlijnen?
DORA vervangt en harmoniseert bestaande nationale regelgeving op het gebied van ICT-risicobeheer in de financiele sector. Bestaande DNB "Good Practices" en richtlijnen worden grotendeels vervangen door de DORA-eisen. Organisaties die al aan DNB-eisen voldeden, hebben een voorsprong maar moeten hun aanpak aantoonbaar alignen met DORA.
Klaar voor DORA?
Van gap-analyse tot TLPT-uitvoering: DEFION ondersteunt financiele instellingen bij elke stap van DORA-compliance.