Strategic Resilience

DORA-compliance voor de financiële sector.

Aantoonbare digitale weerbaarheid: ICT-risicomanagement, incidentrapportage, resilience testing en third-party risk. Van toepassing per januari 2025.

Neem contact op 24/7 Incident Hotline

Wat is een DORA Readiness Assessment?

Een DORA Readiness Assessment beoordeelt je huidige niveau tegen de DORA-vereisten voor financiële instellingen en levert een concreet actieplan op. DORA is op 17 januari 2025 van toepassing en vereist aantoonbare weerbaarheid: niet alleen beleid maar ook geteste procedures, gevalideerde recovery-capaciteiten en beheerste third-party risico's.

Over deze dienst

DORA raakt het volledige spectrum van je digitale operatie

DORA (Digital Operational Resilience Act) stelt strenge eisen aan de digitale weerbaarheid van financiële instellingen. ICT-risicomanagement, incidentrapportage, resilience testing en third-party risk management: DORA raakt elk aspect van hoe je digitale operatie is ingericht.

Het team combineert kennis van de financiële sector met diepgaande security-expertise. Het assessment beoordeelt niet alleen of je documenten op orde zijn, maar of je maatregelen ook daadwerkelijk werken. DORA is geen checkbox-exercitie. Het vereist aantoonbare weerbaarheid met geteste procedures en gevalideerde capaciteiten.

Na het assessment weet je precies waar de gaps zitten, wat het prioriteit heeft en hoe je compliant wordt op een manier die ook je operationele weerbaarheid versterkt.

Het Probleem

Wat DORA van financiële instellingen vraagt

DORA is van toepassing per januari 2025 en stelt eisen die verder gaan dan bestaande frameworks. Veel instellingen onderschatten de omvang.

  • Je hebt beleid maar geen aantoonbaar functionerend ICT-risicomanagement framework met alle door DORA vereiste componenten.
  • Third-party risico van ICT-leveranciers is niet structureel beheerd met de contractuele vereisten en monitoring die DORA voorschrijft.
  • Grotere instellingen moeten TLPT uitvoeren (Threat-Led Penetration Testing) maar weten niet hoe dit conform TIBER-EU wordt ingericht.
Scope

Wat het assessment omvat

  • ICT-risicomanagement framework
  • ICT-gerelateerde incidentrapportage en classificatie
  • Digital Operational Resilience Testing (inclusief TLPT)
  • ICT Third-Party Risk Management
  • Informatie-uitwisseling
  • Governance en organisatie
  • Business continuity en recovery capaciteiten
Onze Aanpak

Hoe DEFION een DORA assessment uitvoert

01

Toepasselijkheidsbeoordeling

Classificatie van je entiteit binnen DORA en bepaling van de scope: welke DORA-vereisten gelden voor jouw type instelling.

02

Huidige staat assessment

Beoordeling van bestaande maatregelen, processen en documentatie tegen de DORA-vereisten per domein.

03

Gap-analyse

Identificatie van ontbrekende maatregelen per DORA-domein met risicoclassificatie per bevinding.

04

Third-party risk review

Beoordeling van je ICT-leverancierslandschap en de contractuele en operationele DORA-vereisten per leverancier.

05

Roadmap opstellen

Implementatieplan met tijdlijn, prioritering en resourceschatting om de meest urgente gaps te dichten.

06

Bestuurspresentatie

Resultaten en aanbevelingen voor directie en RvB, inclusief executive summary.

Wat Je Ontvangt

Deliverables

  • DORA toepasselijkheidsbeoordeling en classificatie
  • Gap-analyse rapport per DORA-domein
  • Compliance-maturityscore per domein
  • Third-party risk assessment resultaten
  • Geprioriteerde implementatieroadmap
  • Executive summary voor directie en RvB
  • Optioneel: implementatie-ondersteuning
Voor Wie

Geschikt voor

  • Banken, verzekeraars, beleggingsondernemingen en andere financiële entiteiten
  • ICT-dienstverleners aan de financiële sector (kritieke ICT third-party providers)
  • Pensioenuitvoerders en betalingsinstellingen
  • E-geldinstellingen
  • Financiële instellingen die hun DORA-gap willen kwantificeren voor hun toezichthouder
Veelgestelde Vragen

FAQ

Wanneer is DORA van toepassing?
DORA is op 17 januari 2025 van toepassing. Financiële entiteiten moeten op die datum compliant zijn. Als je nog niet begonnen bent, is directe actie nodig om de belangrijkste gaps te dichten.
Hoe verhoudt DORA zich tot NIS2?
DORA is een sectorspecifieke verordening voor de financiële sector die als lex specialis fungeert ten opzichte van NIS2. Als je onder DORA valt, is DORA leidend voor de ICT-security vereisten. Overlap bestaat maar DORA is specifieker en strenger op een aantal punten.
Vereist DORA penetratietests?
Ja. DORA vereist periodieke Digital Operational Resilience Testing, inclusief TLPT (Threat-Led Penetration Testing) voor grotere financiële entiteiten. DEFION kan deze tests uitvoeren conform het TIBER-EU framework.
Wat zijn de consequenties van non-compliance?
Toezichthouders kunnen sancties opleggen, inclusief substantiële boetes. Daarnaast kan non-compliance gevolgen hebben voor je vergunning en het vertrouwen van klanten, partners en toezichthouders in de stabiliteit van je organisatie.
Helpen jullie ook met Third-Party Risk Management?
Ja. DORA stelt uitgebreide eisen aan het beheer van ICT-dienstverleners. Het team beoordeelt je huidige third-party risk management programma en helpt bij het opzetten van een DORA-compliant aanpak met contractuele vereisten en periodieke monitoring.
NIS2 Readiness Assessment

Meer informatie →
ISO 27001 Readiness Assessment

Meer informatie →
Security Compliance Services

Meer informatie →

Klaar om je DORA-positie
in kaart te brengen?

Vertel ons wat je nodig hebt. Wij bepalen samen de juiste scope en starten binnen dagen.

Neem contact op 24/7 Incident Hotline