Wat is DORA-compliance?

DORA-compliance betekent voldoen aan de vereisten van de Digital Operational Resilience Act (Verordening EU 2022/2554). Financiële entiteiten moeten ICT-risicobeheerframeworks implementeren, ICT-gerelateerde incidenten binnen strenge termijnen melden, digitale operationele weerbaarheidstesten uitvoeren, ICT-risico van derden beheren en een informatierapport bijhouden. DORA is rechtstreeks van toepassing als EU-verordening sinds 17 januari 2025 — nationale omzetting is niet vereist.

Wat zijn de boetes voor niet-naleving van DORA?

DORA bevat geen uniforme EU-brede boetetabel voor financiële entiteiten. Lidstaten moeten effectieve, evenredige en afschrikkende sancties en herstelmaatregelen vastleggen, waardoor de precieze financiële blootstelling afhangt van nationaal recht en de bevoegde toezichthouder. Kritieke ICT-dienstverleners van derden kunnen daarnaast periodieke dwangsommen krijgen binnen het DORA-toezichtskader bij niet-naleving of niet-medewerking.

Wat is de DORA-deadline voor het informatierapport 2026?

Het informatierapport (RoI) 2026 dekt ICT-regelingen met derden met referentiedatum 31 december 2025. Nationale deadlines variëren: de Nederlandse AFM vereist indiening vóór 31 maart 2026; het CSSF-portaal van Luxemburg opende op 11 februari 2026; de geconsolideerde ESA-deadline is 30 april 2026. Bij de droogoefening van de ESA's in 2024 slaagde slechts 6,5% van de bedrijven voor alle 116 gegevenskwaliteitscontroles.

Wat is het verschil tussen DORA en NIS2?

DORA is sectorspecifieke wetgeving voor financiële entiteiten en is rechtstreeks van toepassing als verordening. NIS2 is een sectoroverstijgende richtlijn die nationale omzetting vereist; in Nederland loopt die omzetting via de Cyberbeveiligingswet. Voor financiële entiteiten is DORA lex specialis — het heeft voorrang op NIS2 waar vereisten overlappen. DORA bevat veel gedetailleerdere vereisten voor ICT-risicobeheer, weerbaarheidstesten, het informatierapport en toezicht op derden.

Vereist DORA penetratietesten?

Ja. DORA verplicht alle financiële entiteiten tot regelmatige digitale operationele weerbaarheidstesten, inclusief kwetsbaarheidsbeoordelingen. Significante entiteiten moeten bovendien ten minste elke drie jaar Threat-Led Penetration Testing (TLPT) ondergaan, door gekwalificeerde externe testers volgens erkende kaders zoals TIBER-EU of het Nederlandse TIBER-NL-programma van De Nederlandsche Bank.

DORA-compliance: Volledige gids voor de Digital Operational Resilience Act (2026)

Published 16 mrt 2026

By Emre Salmanoglu

DORA-compliance: Volledige gids voor de Digital Operational Resilience Act (2026)

Q: Wie moet voldoen aan DORA?

DORA is van toepassing op vrijwel alle gereguleerde financiële entiteiten in de EU: banken, verzekeraars, beleggingsondernemingen, betalingsinstellingen, cryptoactiva-dienstverleners, handelsplatformen, centrale tegenpartijen en meer — 20 categorieën in totaal. ICT-dienstverleners van derden worden afzonderlijk genoemd en kunnen onder het toezichtskader voor kritieke ICT-dienstverleners van derden (CTPPs) vallen. Sinds november 2025 zijn 19 aanbieders formeel aangewezen, waaronder AWS, Microsoft, Google Cloud, IBM, Bloomberg en anderen.

Alles wat financiële entiteiten moeten weten over DORA-compliance in 2026 — ICT-risicobeheer, incidentmelding, TLPT-tests, risicobeheer van derden, handhaving en de deadline van het informatierapport.

DORA

Compliance

Financiële diensten

ICT-risico

EU-regelgeving

DORA-compliance: Volledige gids voor de Digital Operational Resilience Act (2026)

De Digital Operational Resilience Act (DORA) — Verordening (EU) 2022/2554 — is het toegewijde EU-kader voor ICT-risicobeheer in de financiële sector. Het is van toepassing sinds 17 januari 2025 en treft vrijwel elke gereguleerde financiële entiteit in de Europese Unie.

In tegenstelling tot NIS2 is DORA een verordening, geen richtlijn. Het is rechtstreeks van toepassing in alle lidstaten zonder nationale omzetting. Verordening (EU) 2022/2554, artikel 64, stelt 17 januari 2025 vast als toepassingsdatum. In 2026 hebben toezichthouders hun aanpak verscherpt: het gaat niet meer om papieren compliance, maar om bewijs van daadwerkelijke operationele weerbaarheid.

Wat is DORA?

DORA stelt een alomvattend kader vast om te waarborgen dat financiële entiteiten ICT-gerelateerde verstoringen en dreigingen kunnen weerstaan, erop kunnen reageren en ervan kunnen herstellen. Het bestrijkt vijf kernpijlers:

ICT-risicobeheer — Governancekader (Artikelen 5–16)
ICT-gerelateerde incidentmelding — Gestandaardiseerde melding van ernstige incidenten (Artikelen 17–23)
Digitale operationele weerbaarheidstesten — Regelmatige tests van ICT-systemen (Artikelen 24–27)
ICT-risicobeheer van derden — Toezicht op kritieke ICT-dienstverleners (Artikelen 28–44)
Informatie-uitwisseling — Vrijwillige uitwisseling van cyberdreigingsinformatie (Artikel 45)

De verordening erkent dat de toenemende afhankelijkheid van de financiële sector van technologie systemische risico's creëert die verder gaan dan individuele instellingen. Een enkele ICT-storing of cyberaanval kan zich verspreiden door onderling verbonden financiële systemen — waardoor operationele weerbaarheid een kwestie van financiële stabiliteit is, niet alleen van IT-beveiliging.

Wie moet voldoen aan DORA?

DORA is van toepassing op 20 categorieën financiële entiteiten:

Categorie	Voorbeelden
Kredietinstellingen	Banken
Betalingsinstellingen	Betalingsverwerkers, PSP's
Instellingen voor elektronisch geld	Uitgevers van elektronisch geld
Beleggingsondernemingen	Makelaars, vermogensbeheerders
Cryptoactiva-dienstverleners	Beurzen, bewaarders
Verzekerings- en herverzekeringsondernemingen	Verzekeraars, herverzekeraars
Verzekeringsbemiddelaars	Makelaars, agenten
Instellingen voor bedrijfspensioenvoorziening	Pensioenfondsen
Centrale tegenpartijen	Clearinghuizen
Transactieregisters	Transactierapportage
Centrale effectenbewaarinstellingen	Effectenafwikkeling
Handelsplatformen	Effectenbeurzen, MTF's
Securitisatieregisters	ABS-gegevens
Ratingbureaus	Ratingaanbieders
Aanbieders van crowdfundingdiensten	Crowdfundingplatformen
Aanbieders van datarapporteringsdiensten	APA's, ARM's
Beheerders van alternatieve beleggingsfondsen	Hedgefondsmanagers, PE-managers
Beheermaatschappijen	ICBE-beheerders
Aanbieders van rekeninginformatiediensten	Open banking-aanbieders

Daarnaast zijn kritieke ICT-dienstverleners van derden (CTPP's) onderworpen aan een eigen toezichtkader.

Evenredigheid

DORA past het evenredigheidsbeginsel toe. Vereisten schalen op basis van:

Omvang en algemeen risicoprofiel van de entiteit
Aard, schaal en complexiteit van diensten
De ICT-risicoblootstelling van de entiteit

Micro-ondernemingen (minder dan 10 werknemers en minder dan €2M omzet) profiteren van een vereenvoudigd ICT-risicobeheerframework op grond van Artikelen 15–16.

De vijf pijlers van DORA

Pijler 1: ICT-risicobeheer (Artikelen 5–16)

Financiële entiteiten moeten een alomvattend ICT-risicobeheerframework opzetten:

Governance:

Het bestuursorgaan behoudt de uiteindelijke verantwoordelijkheid voor ICT-risico
Specifieke ICT-risicobeheerfunctie, onafhankelijk van operationele ICT
ICT-risicobeheerstrategie ten minste jaarlijks herzien
Management moet ICT-risicotraining voltooien

Identificatie:

Alle ICT-ondersteunde bedrijfsfuncties identificeren, classificeren en documenteren
ICT-middelen en hun afhankelijkheden in kaart brengen
Alle bronnen van ICT-risico identificeren
Ten minste jaarlijks risicobeoordelingen uitvoeren

Bescherming en preventie:

ICT-beveiligingsbeleid en -procedures implementeren
Patchbeheer met gedefinieerde termijnen
Netwerkbeveiliging en toegangscontroles
Gegevensbescherming en versleutelingsmaatregelen

Detectie:

Continue monitoring van ICT-systemen
Anomaliedetectiemechanismen
Meerdere controlelagen

Respons en herstel:

ICT-bedrijfscontinuïteitsbeleid
Rampherstelplannen met RTO's en RPO's
Crisiscommunicatieprocedures
Evaluaties na incidenten

Leren en evolueren:

Dreigingsinformatie verzamelen en analyseren
Analyse van grondoorzaken na incidenten
Continue verbetering van het framework

Pijler 2: ICT-gerelateerde incidentmelding (Artikelen 17–23)

DORA standaardiseert incidentclassificatie en -melding in de gehele financiële sector. Financiële entiteiten moeten ernstige ICT-gerelateerde incidenten classificeren en melden op basis van strikte drempelwaarden:

Criteria voor classificatie als ernstig incident:

Aantal getroffen cliënten of tegenpartijen
Duur van het incident
Geografische spreiding
Omvang van gegevensverlies
Impact op kritieke diensten
Economische impact

Meldingstijdlijn:

Termijn	Type rapport	Inhoud
Binnen 4 uur na classificatie als ernstig (uiterlijk 24 uur na detectie)	Initiële melding	Basale feiten en classificatie
Binnen 72 uur na classificatie	Tussentijds rapport	Bijgewerkte beoordeling en impact
Binnen 1 maand na het tussentijdse rapport	Eindrapport	Grondoorzaakanalyse, herstelmaatregelen

Financiële entiteiten moeten ook getroffen cliënten onverwijld informeren wanneer incidenten hun financiële belangen raken (Artikel 19, lid 3). Deze horizontale communicatieplicht — naar tegenpartijen, niet alleen naar toezichthouders — is een van de operationeel meest veeleisende vereisten van DORA.

In Nederland zijn de AFM (Autoriteit Financiële Markten) en DNB (De Nederlandsche Bank) de bevoegde autoriteiten. Het NCSC-NL vervult een coördinerende rol op het gebied van cybersecurity voor de financiële sector.

Pijler 3: Digitale operationele weerbaarheidstesten (Artikelen 24–27)

Basistesten (alle entiteiten):

Kwetsbaarheidsbeoordelingen en -scans
Open source-analyses
Netwerkbeveiligingsbeoordelingen
Gap-analyses
Fysieke beveiligingsreviews
Scenariogebaseerde tests
Compatibiliteits- en prestatietests
End-to-end-testen

Geavanceerde testen (significante entiteiten):

Threat-Led Penetration Testing (TLPT) ten minste elke drie jaar
Moet erkende kaders volgen: TIBER-EU of het Nederlandse TIBER-NL-programma van De Nederlandsche Bank
Uitgevoerd door gekwalificeerde externe testers
Bestrijkt kritieke ICT-systemen die kritieke of belangrijke functies ondersteunen
Resultaten gemeld aan bevoegde autoriteiten (AFM/DNB)

Het TIBER-kader van De Nederlandsche Bank is het erkende nationale kader voor TLPT in Nederland.

Pijler 4: ICT-risicobeheer van derden (Artikelen 28–44)

DORA creëert een alomvattend kader voor het beheer van uitbesteding en ICT-risico van derden:

Precontractuele vereisten:

Risicobeoordeling vóór het aangaan van ICT-dienstverleningscontracten
Due diligence bij potentiële aanbieders
Beoordeling van concentratierisico — voorkomen van systemische afhankelijkheid van één aanbieder

Contractuele vereisten (Artikel 30): Contracten met ICT-dienstverleners van derden moeten verplichte bepalingen bevatten voor:

Volledige beschrijving van diensten en SLA's
Locatie van gegevensverwerking en -opslag
Recht op audit en toegang
Samenwerkingsverplichtingen bij incidenten
Gegevensportabiliteit en transitieondersteuning
Exitstrategieën en transitieplannen

Informatierapport (Artikel 28, lid 3): Financiële entiteiten moeten een gestructureerd, continu bijgewerkt register bijhouden van alle regelingen met ICT-dienstverleners van derden. Dit rapport is een centraal toezichtsinstrument — het moet te allen tijde beschikbaar zijn voor inspectie en jaarlijks worden ingediend bij de nationale autoriteiten.

Toezicht op CTPP's: De Europese Toezichthoudende Autoriteiten kunnen aanbieders aanwijzen als CTPP's, die dan onderworpen zijn aan direct toezicht met Joint Examination Teams (JETs), inspecties en periodieke dwangsommen.

Pijler 5: Informatie-uitwisseling (Artikel 45)

DORA moedigt financiële entiteiten aan — maar verplicht niet — cyberdreigingsinformatie te delen:

Indicatoren van compromittering (IoC's), tactieken, technieken en procedures (TTP's) delen
Informatie uitwisselen binnen vertrouwde gemeenschappen
Deelnemen aan regelingen voor informatie-uitwisseling
Bevoegde autoriteiten informeren over deelname

DORA in 2026: Wat er veranderd is

19 kritieke ICT-dienstverleners van derden aangewezen

Op 18 november 2025 publiceerden EBA, EIOPA en ESMA de eerste officiële lijst van 19 aangewezen kritieke ICT-dienstverleners van derden (CTPP's):

Hyperscale cloud: AWS, Microsoft Azure, Google Cloud
Financiële data en technologie: Bloomberg, London Stock Exchange Group, IBM
IT-diensten en telecom: Tata Consultancy Services, Orange

Deze aanbieders staan nu onder direct toezicht van Joint Examination Teams (JETs). Financiële entiteiten die sterk afhankelijk zijn van een aangewezen CTPP moeten deze afhankelijkheid documenteren in hun informatierapport en het concentratierisico beoordelen.

Informatierapport — Deadlines 2026

Het informatierapport (RoI) 2026 dekt ICT-regelingen met een referentiedatum van 31 december 2025:

Jurisdictie	Bevoegde autoriteit	Indieningsdeadline 2026
Nederland	AFM	31 maart 2026
Luxemburg	CSSF	Portaal open vanaf 11 februari 2026
België	FSMA	Vóór 30 april 2026
EU geconsolideerd	EBA/EIOPA/ESMA	30 april 2026

Kritieke waarschuwing: Bij de droogoefening van de ESA's in 2024 slaagde slechts 6,5% van bijna 1.000 bedrijven in de EU voor alle 116 gegevenskwaliteitscontroles. Meest voorkomende fouten: onvolledige contractgegevens, ontbrekende informatie over onderaannemers en onjuiste kritikaliteitsclassificaties. De indiening van 2026 moet aanzienlijk vollediger zijn.

Handhaving is verscherpt

Volgens branche-experts markeert 2026 de overgang van papieren compliance naar bewijs van operationele weerbaarheid. Toezichthouders verwachten nu realtime, op data gebaseerde bewijzen, niet alleen beleidsDocumentatie. De nieuwe toezichthouding wordt omschreven als "interventionistisch toezicht."

Deloitte-onderzoek toont:

De meeste instellingen schatten de nalevingskosten op 2–5 miljoen euro
Slechts 50% van de instellingen verwachtte volledige naleving eind 2025
38% richt zich op 2026 voor volledige naleving
Persoonlijke aansprakelijkheid van senior management staat expliciet op de agenda van toezichthouders

DORA versus NIS2: De relatie begrijpen

Voor financiële entiteiten kunnen zowel DORA als NIS2 relevant zijn. DORA is lex specialis — het heeft voorrang waar de vereisten specifieker zijn:

Aspect	DORA	NIS2 (Nederlandse omzetting)
Rechtsvorm	Verordening (rechtstreeks van toepassing)	Richtlijn (vereist nationale omzetting)
Reikwijdte	Financiële sector + kritieke ICT-aanbieders	18 sectoroverstijgende categorieën
Incidentmelding	4u initieel (vanaf classificatie) / 72u tussentijds / 1 maand eindrapport	24u vroegtijdige waarschuwing / 72u melding / 1 maand
Testen	TLPT elke 3 jaar voor significante entiteiten	Effectiviteitsbeoordeling (minder voorschrijvend)
Risico van derden	Gedetailleerd kader met toezichtregime	Vereisten voor beveiliging van de toeleveringsketen
Voorrang	Heeft prioriteit voor financiële entiteiten	Van toepassing waar DORA niet dekt

In Nederland loopt de omzetting van NIS2 via de Cyberbeveiligingswet; tot de inwerkingtreding daarvan blijft de Wbni het huidige kader. Voor financiële entiteiten gaat DORA echter voor. Zie voor een uitgebreide analyse van toepassingsgebied, meldingstermijnen, boetes en dubbele-verplichtingsstrategie onze vergelijkingsgids DORA vs NIS2.

DORA-sancties en boetes

DORA harmoniseert de precieze hoogte van geldboetes voor financiële entiteiten niet volledig op EU-niveau. Artikel 50 verplicht lidstaten om effectieve, evenredige en afschrikkende sancties en herstelmaatregelen vast te leggen, waardoor de exacte boete afhangt van nationaal recht en de bevoegde toezichthouder.

Voor financiële entiteiten:

Herstelmaatregelen en bindende termijnen
Openbare verklaringen en toezichtsmaatregelen
Beperkingen op bestuursfuncties
Opschorting of intrekking van vergunningen
Administratieve sancties onder toepasselijk nationaal recht

Voor kritieke ICT-dienstverleners van derden:

Aanbevelingen van de Lead Overseer en opvolgmaatregelen
Remediëringsverplichtingen binnen het toezichtskader
Periodieke dwangsommen bij niet-naleving of niet-medewerking

De verantwoordelijkheid van senior management is expliciet verankerd in DORA, maar de precieze financiële blootstelling voor financiële entiteiten hangt af van het nationale sanctieregime.

DORA-compliance stappenplan

Stap 1: Toepasselijkheid en evenredigheid beoordelen

Bepaal welke DORA-vereisten van toepassing zijn:

Type entiteit (welke van de 20 financiële-entiteitcategorieën)
Omvang (micro-onderneming, standaard of significante entiteit)
ICT-risicoblootstelling en kritikaliteit van operaties

Stap 2: DORA-gapanalyse uitvoeren

Breng uw huidige kader in kaart ten opzichte van de vijf pijlers. Veelvoorkomende hiaten uit toezichtsbeoordelingen in 2025:

Geen of onvolledig informatierapport
Niet gedefinieerde drempelwaarden voor incidentclassificatie
Geen TLPT-programma voor kwalificerende significante entiteiten
Contracten met derden zonder DORA-verplichte bepalingen
Concentratierisico niet formeel beoordeeld

Stap 3: ICT-risicobeheerframework opbouwen

Stel uw framework op of werk het bij conform Artikelen 5–16:

Formele toezichtsrol van het bestuursorgaan documenteren
ICT-risicostrategie, -bereidheid en -beleid opstellen of bijwerken
Onafhankelijke ICT-risicobeheerfunctie instellen
Continue monitoring en anomaliedetectie implementeren

Stap 4: Incidentmeldingscapaciteit opbouwen

De 24-uurs initiële melding is operationeel veeleisend:

Vooraf gedefinieerde classificatiecriteria en drempelwaarden
24/7 detectie- en escalatieprocedures
Vooraf overeengekomen meldingssjablonen
Benoemde regelgevende contacten bij AFM en DNB
Workflows voor cliëntnotificatie (Artikel 19, lid 3)

Stap 5: Weerbaarheidstestprogramma implementeren

Voor alle entiteiten:

Jaarlijkse kwetsbaarheidsbeoordelingen en netwerkbeveiligingstests
Scenariogebaseerde bedrijfscontinuïteitsoefeningen

Voor significante entiteiten:

Gekwalificeerde TLPT-testers identificeren en inschakelen
Afstemmen op TIBER-NL (DNB) of TIBER-EU
Scope vooraf afstemmen met AFM/DNB

Stap 6: Informatierapport corrigeren

Dit is de meest urgente praktische prioriteit in 2026:

Alle ICT-regelingen met derden documenteren in het ESA-standaardsjabloon
Inclusief: providerdetails, contractomvang, servicelocaties, onderaannemers, kritikaliteitsclassificatie
Concentratierisico beoordelen voor aanbieders die meerdere kritieke functies bedienen
Indienen vóór de AFM/DNB-deadline (31 maart 2026 voor de AFM)

Stap 7: Continue compliance instellen

DORA-compliance is geen eenmalige exercitie:

Continue monitoring van de beveiligingshouding van ICT-dienstverleners van derden
Driemaandelijkse review van het informatierapport
Jaarlijkse review van het ICT-risicobeheerframework
Jaarlijkse review van drempelwaarden voor incidentclassificatie

Hoe Orbiq DORA-compliance ondersteunt

Orbiq helpt financiële entiteiten bij het doorlopend beheer van de operationele vereisten van DORA:

Informatierapportbeheer: Volledig, gestructureerd inventaris van alle ICT-regelingen met derden — altijd gereed voor toezichtsindiening bij de AFM
Leveranciersmonitoring: Continue beoordeling van de beveiligingshouding en nalevingsstatus van externe ICT-dienstverleners, inclusief aangewezen CTPP's
Bewijsbeheer: Geautomatiseerde verzameling en organisatie van nalevingsbewijs voor toezichtsinspecties en TLPT-processen
Trust Center: Demonstreer uw operationele weerbaarheidshouding aan tegenpartijen, auditors en toezichthouders — voldoet aan de horizontale communicatieplicht van Artikel 19, lid 3
Toeleveringsketenzichtbaarheid: Realtime overzicht van uw ICT-afhankelijkheidslandschap, concentratierisicoscoring en CTPP-blootstelling
Continue monitoring: Geautomatiseerde controlemonitoring die inspectieklaar bewijs genereert zonder handmatige inspanning

Vanaf dag één gebouwd voor Europese financiële diensten, met EU-dataresidentie en AVG-native architectuur.

Belangrijke DORA-deadlines in 2026

Deadline	Vereiste
31 maart 2026	Indiening informatierapport bij AFM (Nederland)
30 april 2026	Indiening informatierapport bij ESA's (via nationale ANC's)
Doorlopend	Continue monitoring van ICT-dienstverleners van derden
Jaarlijks	Review van het ICT-risicobeheerframework
Elke 3 jaar	TLPT voor significante entiteiten

Meer lezen

DORA-incidentmelding en leveranciersmonitoring: Artikelen 19, 28, 30
NIS2-compliancegids — Voor vereisten buiten het bereik van DORA
NIS2-beveiliging van de toeleveringsketen — Aanvullende richtlijnen voor risicobeheer van derden
Vendor Assurance Platform — Hoe Orbiq ICT-risico van derden op schaal beheert

Bronnen & Referenties

Verordening (EU) 2022/2554 — DORA volledige tekst — Publicatieblad van de EU, bron voor alle artikelverwijzingen
ESA's wijzen kritieke ICT-dienstverleners aan, 18 november 2025 — Eerste CTPP-lijst: 19 aanbieders incl. AWS, Microsoft, Google Cloud, IBM, Bloomberg, LSEG, TCS, Orange
DORA 2026: AQMetrics — Einde van de overgangsperiode — Overgang naar interventionistisch toezicht
DORA informatierapport 2026 — CSSF Luxemburg — CSSF-indieningsdeadlines en portaaldetails
DORA informatierapport 2026 — FSMA België — FSMA-toezichtsverwachtingen voor 2026
DORA-compliance checklist 2026 — Thomas Murray — Nalevingsvoortgangsstatistieken; volledigecompliancerate van 50%
DORA-boetes en -sancties 2025 — Boetestructuren: 2% omzet, €1M persoonlijk, €5M voor CTPP's
Threat Intelligence Based Ethical Red Teaming (TIBER) — De Nederlandsche Bank — Nederlands TLPT-kader van DNB

Deze gids wordt onderhouden door het Orbiq-team. Laatst bijgewerkt: maart 2026.