DORA compliance en regelgeving voor financiële instellingen
    Compliance

    DORA Compliance: Wat Financiële Instellingen Moeten Weten

    TRON Group• Compliance & Security Experts
    14 minuten lezen

    De Digital Operational Resilience Act (DORA) verandert hoe financiële instellingen met IT-risico's omgaan. Ontdek wat DORA inhoudt en hoe je aan de eisen voldoet.

    DORA Compliance: Wat Financiële Instellingen Moeten Weten

    De Digital Operational Resilience Act (DORA) is sinds 17 januari 2025 van kracht en verandert de manier waarop financiële instellingen in Nederland met IT-risico's omgaan. Deze Europese verordening stelt strenge eisen aan digitale weerbaarheid en raakt niet alleen banken en verzekeraars, maar ook hun IT-leveranciers. In deze gids leggen we uit wat DORA inhoudt en hoe je aan de eisen voldoet.

    Kernpunten (TL;DR)

    • DORA is direct van kracht sinds 17 januari 2025 - geen implementatieperiode meer
    • 5 pijlers: ICT-risicobeheer, incident rapportage, digitale weerbaarheid testen, third-party risico, informatie-uitwisseling
    • IT-leveranciers ook geraakt: DORA stelt eisen aan contracten met kritieke IT-dienstverleners
    • Jaarlijkse tests verplicht: penetratietests, business continuity tests en scenario-analyses
    • Toezicht door DNB en AFM: boetes kunnen oplopen tot 2% van jaaromzet bij niet-naleving

    Wat is DORA?

    DORA staat voor Digital Operational Resilience Act. Het is een Europese verordening die uniforme regels stelt voor digitale operationele weerbaarheid in de financiële sector. Anders dan een richtlijn is een verordening direct van toepassing in alle EU-lidstaten, inclusief Nederland.

    De kern van DORA: financiële instellingen moeten kunnen aantonen dat ze bestand zijn tegen IT-verstoringen en cyberaanvallen. Niet alleen op papier, maar in de praktijk.

    Wie valt onder DORA?

    DORA heeft een brede scope en raakt meer dan 20 categorieën financiële entiteiten:

    Direct onder toezicht:

    • Banken en kredietinstellingen
    • Beleggingsondernemingen
    • Verzekeraars en herverzekeraars
    • Pensioenfondsen
    • Betalingsinstellingen
    • Elektronischgeldinstellingen
    • Crypto-asset dienstverleners
    • Crowdfunding platforms

    Indirect geraakt:

    • ICT-dienstverleners aan bovenstaande partijen
    • Cloud providers
    • Managed service providers
    • Softwareleveranciers
    • Data center operators

    Als je IT-diensten levert aan een financiële instelling, krijg je via contractuele eisen met DORA te maken.

    De vijf pijlers van DORA

    DORA rust op vijf pijlers die samen een kader vormen voor digitale weerbaarheid.

    1. ICT-risicobeheer

    Organisaties moeten een robuust framework hebben voor het identificeren, beoordelen en mitigeren van ICT-risico's.

    Verplichtingen:

    • Gedocumenteerd ICT-risicomanagementbeleid
    • Identificatie van kritieke functies en assets
    • Beschermingsmaatregelen proportioneel aan risico
    • Detectiecapaciteiten voor afwijkingen en incidenten
    • Response- en herstelprocedures
    • Regelmatige review en update

    Dit is geen eenmalige exercitie. DORA vraagt om continue monitoring en aanpassing aan veranderende dreigingen.

    2. ICT-gerelateerde incidenten

    Financiële instellingen moeten incidenten classificeren, beheren en melden volgens gestandaardiseerde criteria.

    Meldingsplicht:

    • Ernstige ICT-incidenten melden bij toezichthouder (AFM of DNB)
    • Initiële melding binnen 4 uur na classificatie
    • Tussentijdse updates binnen 72 uur
    • Eindrapport binnen een maand

    De drempelwaarden voor "ernstig" zijn gedefinieerd in technische standaarden. Denk aan: aantal getroffen klanten, duur van verstoring, financiële impact en grensoverschrijdende effecten.

    3. Digitale operationele weerbaarheid testen

    Testen is niet optioneel. DORA vereist regelmatige tests van ICT-systemen en -processen.

    Testprogramma:

    • Jaarlijkse vulnerability assessments en scans
    • Jaarlijkse penetratietesten
    • Scenario-based tests voor incident response
    • Voor kritieke functies: threat-led penetration testing (TLPT) minimaal elke drie jaar

    TLPT is een geavanceerde vorm van red teaming waarbij externe specialisten realistische aanvalsscenario's uitvoeren. Dit is verplicht voor de grootste instellingen.

    4. ICT-risico's van derde partijen

    De toeleveringsketen krijgt bijzondere aandacht. Uitbesteding vermindert niet de verantwoordelijkheid.

    Verplichtingen:

    • Register van alle ICT-dienstverleners
    • Risicoanalyse voor uitbestedingen
    • Contractuele afspraken over beveiliging, audits en exit
    • Concentratierisico-analyse
    • Exit-strategieën voor kritieke diensten

    Leveranciers moeten meewerken aan audits en moeten kunnen aantonen dat zij aan de beveiligingseisen voldoen.

    5. Informatie-uitwisseling

    DORA stimuleert het delen van dreigingsinformatie tussen financiële instellingen. Dit is vrijwillig, maar aangemoedigd.

    Mogelijkheden:

    • Deelname aan sectorale uitwisselingsplatformen
    • Delen van indicators of compromise (IOC's)
    • Waarschuwingen over nieuwe dreigingen
    • Best practices voor mitigatie

    Toezicht in Nederland

    In Nederland houden de Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) toezicht op DORA-naleving. Wie toezicht houdt, hangt af van het type instelling.

    DNB: banken, verzekeraars, pensioenfondsen, betalingsinstellingen

    AFM: beleggingsondernemingen, beheerders van beleggingsinstellingen, crowdfunding platforms

    Kritieke ICT-dienstverleners vallen onder een nieuw Europees toezichtkader via de European Supervisory Authorities (ESA's).

    Praktische implementatie

    DORA-compliance vraagt om een gestructureerde aanpak.

    Stap 1: Gap-analyse

    Vergelijk je huidige situatie met DORA-vereisten:

    • Welke processen en documentatie zijn al aanwezig?
    • Waar zijn de hiaten?
    • Wat is de prioriteit per hiaat?

    Stap 2: Risico-assessment

    Identificeer kritieke functies en de ICT-assets die hen ondersteunen:

    • Welke systemen zijn kritiek voor de bedrijfsvoering?
    • Wat zijn de risico's en welke maatregelen zijn er?
    • Is het risico acceptabel of moeten maatregelen worden versterkt?

    Stap 3: Beleid en procedures

    Documenteer het ICT-risicomanagementframework:

    • Beleid voor incidentbeheer
    • Classificatiecriteria voor incidenten
    • Escalatie- en meldingsprocedures
    • Business continuity en disaster recovery plannen

    Stap 4: Leveranciersmanagement

    Breng de ICT-toeleveringsketen in kaart:

    • Alle leveranciers registreren
    • Risicoclassificatie per leverancier
    • Contracten reviewen en aanpassen
    • Exit-strategieën vastleggen

    Stap 5: Testing

    Implementeer een testprogramma:

    • Vulnerability management
    • Penetratietesten
    • Tabletop-oefeningen
    • TLPT indien van toepassing

    Stap 6: Continue monitoring

    DORA is geen project maar een doorlopend proces:

    • Regelmatige reviews van beleid en procedures
    • Monitoring van ICT-risico's
    • Rapportage aan bestuur
    • Aanpassing aan nieuwe dreigingen en eisen

    De rol van IT-leveranciers

    Voor IT-partners die diensten leveren aan financiële instellingen verandert er veel.

    Nieuwe verplichtingen:

    • Meewerken aan audits en assessments
    • Transparantie over beveiligingsmaatregelen
    • Incidentmelding aan klanten
    • Contractuele aanpassingen accepteren
    • Exit-ondersteuning bij beëindiging

    Kansen:

    • Financiële instellingen zoeken DORA-ready leveranciers
    • Differentiatie door compliance-expertise
    • Langetermijnrelaties door strategisch partnerschap

    Overlap met andere regelgeving

    DORA staat niet op zichzelf. Er is overlap met andere kaders.

    NIS2: Cybersecurityrichtlijn die ook kritieke sectoren raakt. DORA is lex specialis voor de financiële sector.

    AVG/GDPR: Privacyregulering die blijft gelden naast DORA.

    EBA/EIOPA-richtlijnen: Eerdere richtlijnen voor uitbesteding worden deels vervangen door DORA.

    ISO 27001: Niet verplicht, maar een goede basis voor DORA-compliance.

    Door een geïntegreerde aanpak voorkom je dubbel werk en inconsistenties.

    Bestuurlijke verantwoordelijkheid

    DORA legt expliciete verantwoordelijkheid bij het bestuur. Dit is geen IT-probleem alleen.

    Verplichtingen voor bestuurders:

    • Goedkeuren van ICT-risicomanagementframework
    • Toezicht houden op implementatie
    • Kennis nemen van ICT-risico's en incidenten
    • Zorgen voor adequate middelen
    • Training en awareness

    Het bestuur moet kunnen aantonen dat het actief betrokken is bij ICT-risicobeheer.

    Hulp bij DORA-compliance

    DORA-compliance is complex en vraagt om expertise op het snijvlak van IT, security en compliance. Veel organisaties kiezen voor externe ondersteuning.

    Een security partner kan helpen met:

    • Gap-analyse en roadmap
    • Implementatie van technische maatregelen
    • 24/7 monitoring en incident response
    • Penetratietesten en vulnerability assessments
    • Documentatie en compliance-rapportage
    • Leveranciersassessments

    Een compliance-adviseur kan helpen met:

    • Interpretatie van regelgeving
    • Beleidsontwikkeling
    • Toezichthouder-interactie
    • Training voor bestuur en medewerkers

    Sancties

    DORA bevat sanctiebevoegdheden voor toezichthouders. Bij niet-naleving kunnen boetes worden opgelegd die oplopen tot een percentage van de jaarlijkse omzet. Daarnaast kan reputatieschade substantieel zijn.

    Aan de slag

    DORA is van kracht en toezichthouders verwachten naleving. Wachten is geen optie.

    Begin met een eerlijke assessment van je huidige situatie. Waar sta je ten opzichte van de vijf pijlers? Prioriteer de hiaten op basis van risico en impact. Betrek het bestuur en zorg voor draagvlak en budget.

    Digitale weerbaarheid is niet alleen een compliance-verplichting. Het is een voorwaarde voor het vertrouwen van klanten en de continuïteit van je organisatie. DORA dwingt de aandacht af die dit onderwerp verdient.

    DORAComplianceFinanciële SectorICT RisicoCybersecurityRegelgevingAFMDNB

    Wil je meer weten over deze IT-oplossingen?

    Neem contact op voor een vrijblijvend gesprek met onze experts

    Meer Artikelen

    IT-onboarding en offboarding van medewerkers in het MKB - JML-checklist voor accounts, hardware, SaaS-toegang en AVG-bewaartermijnen na uitdiensttreding
    Cyber Security
    10 min lezen

    IT-Onboarding en Offboarding van Medewerkers in het MKB

    De ergste storing in je IT-omgeving is meestal niet een hacker van buiten maar een vergeten account van binnen. We leggen uit hoe je IT-onboarding en offboarding in jouw MKB-bedrijf inricht: een werkbare JML-aanpak, concrete checklists voor beide processen, automatisering via Microsoft Entra Lifecycle Workflows en SCIM, en de AVG-bewaartermijnen die je na uitdiensttreding moet hanteren.

    IT-OnboardingOffboardingJML
    Lees meer
    Bedrijfscontinuiteitsplan BCP opstellen voor het MKB - BIA, risicoanalyse, zes stappen voor een werkbaar plan dat NIS2 en verzekering bedient
    Cyber Security
    10 min lezen

    Bedrijfscontinuiteitsplan (BCP) Opstellen voor het MKB

    Een brand in het pand, een sleutelmedewerker die uitvalt, een leverancier die plotseling stopt, een stroomstoring van drie dagen. We leggen uit wat een bedrijfscontinuiteitsplan is, hoe het zich verhoudt tot een IT disaster recovery plan, hoe je BIA en risicoanalyse aanpakt en hoe je in zes stappen een werkbaar plan opstelt dat NIS2 en je verzekering bedient.

    BCPBedrijfscontinuiteitBusiness Continuity
    Lees meer
    SharePoint effectief gebruiken in het MKB - inrichting van hub sites, metadata, permissies en migratie van fileshare naar een werkende documentomgeving
    Microsoft 365
    10 min lezen

    SharePoint Effectief Gebruiken in het MKB: Inrichting en Best Practices

    We hebben SharePoint, maar niemand gebruikt het. Een veelgehoorde verzuchting in het MKB. We zetten op een rij wat SharePoint is, het verschil met OneDrive en Teams, welke vijf inrichtingsfouten je voorkomt, hoe je een gezonde informatie-architectuur opzet met hub sites en metadata, en hoe je in een paar weken van een ongebruikte tegel een werkende documentomgeving maakt.

    SharePointMicrosoft 365Moderne Werkplek
    Lees meer