Wat is DORA?
De Digital Operational Resilience Act (DORA) is een Europese verordening die op 17 januari 2025 van kracht is geworden. Anders dan een richtlijn — zoals NIS2 die eerst in nationale wetgeving moet worden omgezet — is DORA direct van toepassing in alle EU-lidstaten. Er is geen ruimte voor interpretatie of vertraging: de regels gelden nu.
DORA richt zich specifiek op de financiële sector en heeft één centraal doel: ervoor zorgen dat financiële instellingen bestand zijn tegen ICT-gerelateerde verstoringen en cyberaanvallen. In een wereld waarin bankieren, verzekeren en beleggen volledig digitaal zijn geworden, is dat geen luxe maar een noodzaak.
Voor Wie Geldt DORA?
De reikwijdte van DORA is breed. De verordening geldt voor meer dan 22.000 financiële entiteiten in de EU, waaronder:
- Banken en kredietinstellingen
- Verzekeraars en herverzekeraars
- Beleggingsondernemingen en fondsbeheerders
- Betalingsinstellingen en e-geldinstellingen
- Crypto-asset service providers
- Pensioenfondsen
- Kritieke ICT-dienstverleners aan de financiële sector
Dat laatste punt is cruciaal: ook als uw organisatie geen financiële instelling is maar wél diensten levert aan de sector — denk aan cloud providers, softwareleveranciers of managed service providers — kunt u onder DORA vallen.
De Vijf Pijlers van DORA
1. ICT Risk Management
Financiële instellingen moeten een robuust raamwerk hebben voor het beheer van ICT-risico's. Dit gaat verder dan traditioneel IT-risicomanagement: DORA vereist een geïntegreerde aanpak waarin ICT-risico's worden behandeld als onderdeel van het bredere operationele risicomanagement.
Concreet betekent dit: identificatie van alle ICT-assets, continue risicobeoordeling, beschermingsmaatregelen, detectiecapaciteiten, en herstelprocedures. Het bestuur draagt hiervoor de eindverantwoordelijkheid — net als bij NIS2 is er sprake van persoonlijke bestuurdersaansprakelijkheid.
2. ICT-gerelateerde Incidentrapportage
DORA introduceert een geharmoniseerd systeem voor het rapporteren van ICT-incidenten. Financiële instellingen moeten ernstige ICT-incidenten binnen strikte termijnen melden aan de bevoegde autoriteiten:
- Initiële melding: binnen 4 uur na classificatie als ernstig incident
- Tussentijds rapport: binnen 72 uur
- Eindrapport: binnen 1 maand
Dit vereist niet alleen technische capaciteit om incidenten te detecteren en classificeren, maar ook gestroomlijnde interne processen om de rapportage tijdig uit te voeren.
3. Digital Operational Resilience Testing
Organisaties moeten hun digitale weerbaarheid regelmatig testen. DORA onderscheidt twee niveaus:
- Basistesten: jaarlijkse kwetsbaarhedenscans, penetratietesten, en scenario-gebaseerde tests voor alle financiële entiteiten
- Threat-Led Penetration Testing (TLPT): geavanceerde, door dreigingsinformatie gestuurde tests voor de grootste en meest systemisch relevante instellingen, minimaal elke drie jaar
4. ICT Third-Party Risk Management
De afhankelijkheid van de financiële sector van externe ICT-dienstverleners is enorm. DORA stelt strenge eisen aan het beheer van deze risico's:
- Verplicht register van alle ICT-dienstverleners
- Risicobeoordelingen vóór het aangaan van contracten
- Specifieke contractuele bepalingen (exit-strategieën, auditrechten, beveiligingseisen)
- Continue monitoring van de dienstverlening
Daarnaast introduceert DORA een nieuw toezichtskader voor 'kritieke ICT-dienstverleners' die door de Europese toezichthouders worden aangewezen.
5. Informatie-uitwisseling
DORA moedigt financiële instellingen aan om dreigingsinformatie met elkaar te delen. Dit vrijwillige mechanisme moet de collectieve weerbaarheid van de sector versterken.
DORA en NIS2: Wat is het Verschil?
Bij organisaties die zowel onder DORA als NIS2 vallen, geldt DORA als lex specialis — de specifiekere wet gaat voor. In de praktijk stelt DORA strengere en meer gedetailleerde eisen dan NIS2, specifiek toegesneden op de financiële sector.
Maar de onderliggende principes overlappen: risicomanagement, incidentrapportage, supply chain security, en bestuurlijke verantwoordelijkheid komen in beide kaders terug. Organisaties die zich op NIS2 hebben voorbereid, hebben daarmee al een goede basis voor DORA.
De Consequenties van Non-Compliance
DORA geeft nationale toezichthouders vergaande bevoegdheden. Ze kunnen:
- Boetes opleggen van maximaal 1% van de gemiddelde dagelijkse wereldwijde omzet, voor een periode van maximaal zes maanden
- Bestuursleden persoonlijk aansprakelijk stellen
- Activiteiten tijdelijk of permanent verbieden
- Contracten met ICT-dienstverleners laten beëindigen
Voor kritieke ICT-dienstverleners die onder het Europese toezichtskader vallen, kunnen boetes oplopen tot €5 miljoen (of €500.000 per dag bij voortdurende overtredingen).
Hoe Bereidt U Zich Voor?
- Gap-analyse: Breng in kaart waar uw organisatie staat ten opzichte van de vijf DORA-pijlers
- Governance: Zorg dat het bestuur aantoonbaar betrokken is bij ICT-risicomanagement
- Leveranciersregister: Inventariseer alle ICT-dienstverleners en beoordeel de risico's
- Incidentproces: Richt een rapportageproces in dat voldoet aan de DORA-termijnen
- Testprogramma: Plan en voer resilience tests uit
- Menselijke factor: Vergeet niet dat technische maatregelen alleen werken als mensen ze correct toepassen
Nexus-7 en DORA-Compliance
Nexus-7 helpt financiële instellingen bij de implementatie van DORA door technische assessment te combineren met gedragsanalyse. Onze Q-Method benadering brengt in kaart hoe medewerkers omgaan met ICT-risico's — een dimensie die traditionele compliance-tools missen, maar die DORA wel degelijk adresseert.
Van gap-analyse tot threat-led penetration testing, en van leveranciersrisicobeoordeling tot awareness-programma's: Nexus-7 biedt een integrale aanpak die past bij de brede scope van DORA.
Wilt u weten hoe DORA-ready uw organisatie is? Plan een demo en ontdek hoe Nexus-7 u helpt bij de implementatie van alle vijf DORA-pijlers.
