DORA-compliance: wat de verordening vereist, wie het raakt en hoe u zich voorbereidt
Een praktische gids voor DORA-compliance — wat de Digital Operational Resilience Act vereist, welke financiële entiteiten en ICT-dienstverleners geraakt worden, kernverplichtingen rond ICT-risicobeheer, incidentrapportage, veerkrachttests en beheer van ICT-derdepartijrisico's.
DORA-compliance: wat de verordening vereist, wie het raakt en hoe u zich voorbereidt
De Digital Operational Resilience Act (DORA) is de EU-verordening voor digitale operationele veerkracht in de financiële sector. De verordening is van toepassing vanaf januari 2025 en stelt geharmoniseerde eisen vast voor ICT-risicobeheer, incidentrapportage, veerkrachttests en beheer van derdepartijrisico's voor alle soorten financiële entiteiten.
Voor B2B SaaS-bedrijven die de financiële sector bedienen, heeft DORA aanzienlijke implicaties. Als u als kritieke ICT-derdepartijdienstverlener wordt aangewezen, valt u onder direct EU-toezicht. Zelfs zonder die aanwijzing zullen klanten in de financiële sector DORA-conforme contractuele eisen stellen aan hun ICT-leveranciers. Het begrijpen van DORA is essentieel voor elk technologiebedrijf dat zaken doet met Europese financiële instellingen.
Deze gids behandelt wat DORA vereist, op wie het van toepassing is, de vijf pijlers van compliance en hoe u zich als ICT-dienstverlener kunt voorbereiden.
Reikwijdte en toepasbaarheid van DORA
Financiële entiteiten binnen de reikwijdte
DORA is van toepassing op vrijwel alle gereguleerde financiële entiteiten in de EU:
| Categorie | Entiteiten |
|---|---|
| Bankwezen | Kredietinstellingen, betaalinstellingen, instellingen voor elektronisch geld |
| Beleggingen | Beleggingsondernemingen, handelsplatformen, centrale tegenpartijen, centrale effectenbewaarinstellingen |
| Verzekeringen | Verzekeringsondernemingen, herverzekeringsondernemingen, verzekeringstussenpersonen |
| Pensioenen | Instellingen voor bedrijfspensioenvoorziening |
| Crypto | Aanbieders van cryptoactivadiensten, uitgevers van aan activa gekoppelde tokens |
| Overig | Ratingbureaus, beheerders van kritieke benchmarks, securitisatieregisters, crowdfundingdienstverleners |
ICT-derdepartijdienstverleners
DORA reikt verder dan financiële entiteiten en omvat ook ICT-derdepartijdienstverleners, waaronder:
- Cloudserviceproviders (IaaS, PaaS, SaaS)
- Aanbieders van data-analyse
- Softwareleveranciers
- Datacenterdienstverleners
- ICT-infrastructuurproviders
Kritieke ICT-derdepartijdienstverleners (CTPP's) die door de Europese toezichthoudende autoriteiten zijn aangewezen, vallen onder direct toezicht. Aanwijzingscriteria omvatten systeembelang voor de financiële sector, mate van vervangbaarheid en het aantal en belang van financiële entiteiten dat afhankelijk is van de provider.
De vijf pijlers van DORA
Pijler 1: ICT-risicobeheer (Artikelen 5-16)
Financiële entiteiten moeten uitgebreide ICT-risicobeheer-frameworks opzetten:
Governance
- Het leidinggevend orgaan draagt de uiteindelijke verantwoordelijkheid voor ICT-risicobeheer
- Het ICT-risicobeheer-framework definiëren, goedkeuren en toezicht houden
- Voldoende budget en middelen toewijzen voor ICT-beveiliging
- Leden van het leidinggevend orgaan moeten ICT-risicokennis onderhouden via regelmatige trainingen
ICT-risicobeheer-framework
- Alle door ICT ondersteunde bedrijfsfuncties en activa identificeren
- Informatie-activa classificeren op basis van kritiekheid
- Regelmatige risicobeoordelingen uitvoeren
- Beschermings- en preventiemaatregelen implementeren
- Detectiemechanismen voor afwijkende activiteit vaststellen
- Respons- en herstelprocedures definiëren
- Een uitgebreid ICT-risicobeheerbeleid onderhouden
Kernvereisten:
| Gebied | Vereiste |
|---|---|
| Identificatie | Bijgewerkte inventaris van ICT-activa onderhouden, afhankelijkheden in kaart brengen, kritieke functies identificeren |
| Bescherming | Beveiligingsbeleid, toegangscontroles, encryptie, netwerkbeveiliging implementeren |
| Detectie | Monitoring-, waarschuwings- en anomaliedetectiecapaciteiten inzetten |
| Respons | Incidentresponsprocedures, inperkingsstrategieën, communicatieplannen vaststellen |
| Herstel | Hersteldoelstellingen, back-upbeleid, herstelprocedures definiëren |
| Leren | Post-incidentevaluaties, kwetsbaarheidsbeoordelingen, continue verbetering |
Pijler 2: Beheer en rapportage van ICT-gerelateerde incidenten (Artikelen 17-23)
Incidentclassificatie
Financiële entiteiten moeten ICT-gerelateerde incidenten classificeren aan de hand van deze criteria:
| Criterium | Beschrijving |
|---|---|
| Getroffen klanten | Aantal getroffen klanten of financiële tegenpartijen |
| Duur | Lengte van het incident |
| Geografische spreiding | Getroffen gebieden, inclusief grensoverschrijdende impact |
| Gegevensverlies | Of gegevens zijn gecompromitteerd, beschadigd of verloren |
| Kritiekheid van diensten | Hoe kritiek de getroffen diensten zijn |
| Economische impact | Directe en indirecte kosten en verliezen |
Rapportagetermijn
| Fase | Deadline | Inhoud |
|---|---|---|
| Initiële melding | 4 uur na classificatie (24 uur na detectie) | Samenvatting van het incident, initiële impactbeoordeling |
| Tussentijds rapport | 72 uur na classificatie | Bijgewerkte beoordeling, inperkingsmaatregelen, oorzaak (indien bekend) |
| Eindrapport | 1 maand na laatste tussentijds rapport | Oorzaakanalyse, totale impact, herstelmaatregelen, geleerde lessen |
Vrijwillige dreigingsrapportage
Financiële entiteiten mogen vrijwillig significante cyberdreigingen melden bij bevoegde autoriteiten. Dit wordt aangemoedigd om de sectorale veerkracht en het delen van dreigingsinformatie te verbeteren.
Pijler 3: Testen van digitale operationele veerkracht (Artikelen 24-27)
Basistests (alle entiteiten)
Alle financiële entiteiten moeten proportionele tests uitvoeren:
- Kwetsbaarheidsbeoordelingen en -scans
- Open source-analyses
- Netwerkbeveiligingsbeoordelingen
- Gap-analyses
- Fysieke beveiligingsbeoordelingen
- Vragenlijsten en scansoftwareoplossingen
- Broncoderevisies waar haalbaar
- Scenariotests
- Compatibiliteitstests
- Prestatietests
- Eindtoteindsysteem-tests
- Penetratietests (minstens jaarlijks)
Geavanceerde tests — TLPT (significante entiteiten)
Significante financiële entiteiten moeten threat-led penetration testing (TLPT) uitvoeren:
| Vereiste | Detail |
|---|---|
| Frequentie | Minstens elke 3 jaar |
| Framework | Moet TIBER-EU of een gelijkwaardig nationaal framework volgen |
| Reikwijdte | Kritieke of belangrijke functies op live productiesystemen |
| Testers | Gekwalificeerde externe providers met specifieke expertise |
| Dreigingsinformatie | Gebaseerd op het actuele dreigingslandschap specifiek voor de entiteit |
| Rapportage | Resultaten gerapporteerd aan bevoegde autoriteit met herstelplan |
Pijler 4: Beheer van ICT-derdepartijrisico's (Artikelen 28-44)
Vereisten vóór contractsluiting
- Risicobeoordeling uitvoeren vóór het aangaan van ICT-regelingen
- Informatiebeveiligingscapaciteiten van de provider beoordelen
- Concentratierisico evalueren (afhankelijkheid van enkele providers)
- Due diligence uitvoeren bij providers die kritieke functies ondersteunen
Verplichte contractuele bepalingen
Contracten met ICT-derdepartijdienstverleners moeten het volgende bevatten:
| Bepaling | Beschrijving |
|---|---|
| Dienstbeschrijving | Duidelijke beschrijving van functies, inclusief voorwaarden voor sub-uitbesteding |
| Datalocatie | Locaties waar gegevens worden verwerkt en opgeslagen, melding van wijzigingen |
| Beveiligingsmaatregelen | Serviceniveaus, beveiligingseisen, toegangscontroles |
| Beschikbaarheidsdoelen | Gegarandeerde uptime, hersteltijd- en herstelpuntdoelstellingen |
| Incidentmelding | Verplichting om ICT-gerelateerde incidenten te melden |
| Bedrijfscontinuïteit | Plannen voor het waarborgen van continuïteit bij verstoringen |
| Auditrechten | Rechten om audits en inspecties uit te voeren |
| Beëindiging en exit | Overgangsperioden, gegevensretournering, verwijderingsvereisten |
| Sub-uitbesteding | Voorwaarden voor verdere uitbesteding aan onderaannemers |
Doorlopende monitoring
- Prestaties van providers monitoren ten opzichte van contractuele verplichtingen
- Een register van alle ICT-derdepartijregelingen bijhouden
- Het register jaarlijks rapporteren aan bevoegde autoriteiten
- Concentratierisico regelmatig beoordelen en beheren
Exitstrategieën
- Exitplannen ontwikkelen voor kritieke ICT-derdepartijregelingen
- Zorgen dat plannen adequate overgangsperioden bevatten
- Gegevensportabiliteit en -migratie plannen
- Exitprocedures periodiek testen
Pijler 5: Informatie-uitwisseling (Artikel 45)
Financiële entiteiten mogen deelnemen aan vrijwillige regelingen voor het delen van informatie over cyberdreigingen, waaronder:
- Tactieken, technieken en procedures (TTP's)
- Indicatoren van compromittering (IoC's)
- Beveiligingswaarschuwingen en configuratietools
- Informatie over cyberdreigingen
Deelname is vrijwillig maar wordt aangemoedigd. Gedeelde informatie moet worden behandeld in overeenstemming met vertrouwelijkheidsvereisten en mededingingsrecht.
DORA voor ICT-dienstverleners
Directe impact
Als u een ICT-derdepartijdienstverlener bent voor financiële entiteiten:
Contractuele verplichtingen: Klanten in de financiële sector zullen DORA-conforme contractuele voorwaarden eisen met betrekking tot beveiligingsmaatregelen, incidentmelding, auditrechten, datalocatie en exitstrategieën.
Verscherpt due diligence: Verwacht diepgaandere beveiligingsbeoordelingen tijdens inkoopprocedures, inclusief evaluaties van uw ICT-risicobeheer-framework, incidentresponscapaciteiten en bedrijfscontinuïteitsplannen.
Incidentmelding: U dient klanten in de financiële sector te informeren over ICT-gerelateerde incidenten volgens termijnen die hun eigen rapportageverplichting van 4 uur ondersteunen.
Audit- en inspectierechten: Financiële entiteiten en hun bevoegde autoriteiten moeten het recht hebben om uw systemen, operaties en beveiligingsmaatregelen te auditen en te inspecteren.
Aanwijzing als kritieke ICT-derdepartijdienstverlener (CTPP)
Indien aangewezen als CTPP door de ESA's, gelden aanvullende verplichtingen:
- Direct toezicht door een Lead Overseer (een van de drie ESA's)
- Verplichting om te reageren op informatieverzoeken en aanbevelingen na te leven
- Onderworpen aan algemene onderzoeken en inspecties ter plaatse
- Niet-EU-providers moeten een EU-dochteronderneming oprichten
- Aanbevelingen zijn niet juridisch bindend, maar niet-naleving kan ertoe leiden dat financiële entiteiten verplicht worden regelingen te beëindigen
DORA en andere frameworks
DORA en NIS2
| Aspect | DORA | NIS2 |
|---|---|---|
| Reikwijdte | Financiële sector | Sectoroverstijgend (18 sectoren) |
| Aard | Verordening (rechtstreeks van toepassing) | Richtlijn (vereist omzetting) |
| Incidentrapportage | 4 uur initiële melding | 24 uur vroegtijdige waarschuwing |
| Testen | Verplichte TLPT voor significante entiteiten | Effectiviteitsbeoordeling vereist |
| Beheer van derden | Uitgebreid framework met toezicht | Verplichtingen voor toeleveringsketenbeveiliging |
| Verhouding | Lex specialis (heeft voorrang) | Van toepassing waar DORA niet geldt |
DORA en ISO 27001
| Aspect | ISO 27001 | DORA-toevoegingen |
|---|---|---|
| Risicobeheer | Uitgebreid ISMS | Afgestemd, met financiële-sectorspecifieke zaken |
| Incidentrapportage | Interne procedures | Verplichte externe rapportage binnen 4/72 uur |
| Testen | A.8.8 kwetsbaarheidsbeheer | Verplichte TLPT elke 3 jaar |
| Derden | A.5.19-A.5.23 leveranciersbeveiliging | Register, contractuele bepalingen, toezicht |
| Bedrijfscontinuïteit | A.5.29-A.5.30 | Gedetailleerde ICT-continuïteitseisen |
Voorbereiden op DORA-compliance
Voor financiële entiteiten
- Gap-analyse — Huidig ICT-risicobeheer-framework toetsen aan DORA-vereisten
- Governance — Zorgen dat het leidinggevend orgaan betrokken is bij ICT-risicotoezicht en -training
- ICT-risicobeheer — Identificatie-, beschermings-, detectie-, respons- en herstelcapaciteiten versterken
- Incidentbeheer — Classificatiecriteria en rapportageprocessen vaststellen die voldoen aan DORA-termijnen
- Veerkrachttests — Testprogramma ontwikkelen, TLPT plannen indien van toepassing
- Derdepartijregister — Register van alle ICT-derdepartijregelingen aanmaken en onderhouden
- Contractbeoordeling — Contracten met ICT-providers bijwerken met verplichte DORA-bepalingen
- Exitstrategieën — Exitplannen ontwikkelen voor kritieke ICT-derdepartijregelingen
Voor ICT-dienstverleners
- Uw blootstelling begrijpen — Identificeer welke klanten in de financiële sector onder DORA vallen
- Contracten beoordelen — Bereid u voor op DORA-conforme contractuele eisen
- Incidentrespons versterken — Zorg dat u de rapportageverplichting van 4 uur van uw klanten kunt ondersteunen
- Voorbereiden op audits — Bouw auditgereedheid op met uitgebreide documentatie en bewijsvoering
- Publiceren op Trust Center — Maak beveiligingsdocumentatie, incidentresponscapaciteiten en compliance-bewijs beschikbaar voor kopers in de financiële sector
- CTPP-risico beoordelen — Evalueer of u als kritiek aangewezen zou kunnen worden en bereid u dienovereenkomstig voor
Hoe Orbiq DORA-compliance ondersteunt
- Trust Center: Publiceer uw DORA-compliancestatus — ICT-risicobeheermaatregelen, incidentresponscapaciteiten en bewijsvoering van veerkrachttests voor kopers in de financiële sector
- Continue monitoring: Volg DORA-vereisten over alle vijf pijlers met realtime compliancestatus
- Bewijsbeheer: Centraliseer ICT-risico-documentatie, incidentregistraties, testrapportages en registers van derdepartijregelingen, gekoppeld aan DORA-artikelen
- AI-gestuurde vragenlijsten: Beantwoord automatisch DORA-gerelateerde vragen in beveiligingsvragenlijsten van klanten in de financiële sector
Verder lezen
- NIS2-compliance — De relatie tussen DORA en NIS2 begrijpen
- Penetratietesten — Voldoen aan DORA's veerkrachttests inclusief TLPT
- Incidentrespons — Incidentresponscapaciteiten opbouwen voor DORA's 4-uursrapportage
- Beheer van derdepartijrisico's — ICT-derdepartijrisico's beheren zoals vereist door DORA Pijler 4
Deze gids wordt onderhouden door het Orbiq-team. Laatst bijgewerkt: maart 2026.