Digital Operational Resilience Act (DORA)

De Digital Operational Resilience Act (DORA) is een Europese verordening die sinds 16 januari 2023 van kracht is en die financiële instellingen in de EU verplicht om hun digitale weerbaarheid te versterken. De wetgeving is ontworpen om de operationele veerkracht van de financiële sector te waarborgen, vooral in het licht van toenemende cyberdreigingen en ICT-risico’s. DORA stelt eisen aan hoe organisaties hun IT-risico’s beheren en hoe zij reageren op incidenten, met als doel de continuïteit van kritieke processen te waarborgen.

Deze regelgeving biedt een juridisch kader waarmee financiële instellingen hun cyberweerbaarheid kunnen versterken en voldoen aan geharmoniseerde EU-normen. Dit artikel beschrijft de belangrijkste aspecten van DORA en de praktische implicaties ervan voor uw organisatie, aangevuld met recente inzichten en richtlijnen uit de publicatie van de Autoriteit Financiële Markten (AFM).

Blog
13 februari 2025

Wat is DORA en waarom is het relevant voor uw organisatie?

DORA is een aanvulling op bestaande wetgeving zoals de Network and Information Security Directive (NIS2) en de General Data Protection Regulation (GDPR). DORA verplicht financiële instellingen, waaronder banken, verzekeraars, betalingsdienstverleners en andere marktdeelnemers om robuuste frameworks te implementeren voor IT-risicobeheer en incidentrespons. De nadruk ligt op harmonisatie van IT-vereisten, zodat bedrijven eenvoudiger voldoen aan EU-normen en hun digitale veerkracht versterken. 

Volgens de AFM en De Nederlandsche Bank (DNB) biedt DORA belangrijke voordelen zoals verbeterde ketenveiligheid en efficiëntere informatie-uitwisseling tussen financiële instellingen. Ondernemingen hadden tot 17 januari 2025 om aan de regelgeving te voldoen. Sindsdien is strikter toezicht op compliance van toepassing.

Belangrijkste verschillen tussen DORA en NIS2:

  • DORA richt zich specifiek op de financiële sector, terwijl NIS2 een breder scala aan sectoren omvat, zoals energie, transport en gezondheidszorg.
  • DORA is een verordening die direct van toepassing is in alle EU-lidstaten, terwijl NIS2 een richtlijn is die per land moet worden omgezet in nationale wetgeving.
  • DORA heeft strengere eisen op het gebied van ICT-risicobeheer en incidentrapportage, terwijl NIS2 bredere cyberbeveiliging eisen oplegt.
  • DORA heeft voorrang als een financiële instelling onder beide wetgevingen valt.

Dit moet je weten over DORA

DORA bestaat uit vijf belangrijke kernprincipes die elk een belangrijk onderdeel van digitale operationele weerbaarheid adresseren:

  • IT-risicobeheer: Systematische identificatie en mitigatie van IT-risico’s.
  • ICT-gerelateerde incidenten: Nauwkeurige detectie, registratie en rapportage van incidenten.
  • Testen van digitale operationele weerbaarheid: Regelmatige en risicogebaseerde stresstests.
  • Beheer van ICT-risico’s bij derde aanbieders: Strenge eisen voor uitbestedingen en ketenveiligheid.
  • Toezicht en sancties: Niet-naleving kan leiden tot boetes en verdere regelgeving door de AFM en DNB.

Voor welke organisaties is DORA van toepassing?

De Digital Operational Resilience Act (DORA) is van toepassing op organisaties binnen de financiële sector in de Europese Unie. De belangrijkste categorieën die onder DORA vallen zijn:

Financiële entiteiten

  • Kredietinstellingen (banken)
  • Betalingsinstellingen
  • Elektronisch Geld Instellingen
  • Beleggingsondernemingen
  • Verzekeraars en herverzekeraars
  • Pensioenfondsen
  • Aanbieders van crypto activa diensten
  • Crowdfunding dienstverleners
  • Beheerders van alternatieve beleggingsfondsen
  • Handelsplatformen en beurzen
  • Centrale tegenpartijen (CCP’s)
  • Centrale effectenbewaarinstellingen
  • Kredietbeoordelaars


ICT-dienstverleners

Naast financiële entiteiten valt ook een specifieke groep ICT-dienstverleners onder DORA, met name kritieke derde aanbieders van ICT-diensten aan de financiële sector. Dit omvat onder andere:

  • Cloud computing-dienstverleners
  • Softwareleveranciers
  • Datacenters

Door de omvang van DORA zijn zowel financiële instellingen als hun ICT-partners verplicht om robuuste nalevingsmaatregelen te implementeren. Dit is essentieel om operationele risico’s te minimaliseren en de stabiliteit van kritieke financiële processen te waarborgen.

Toezicht op de verordening

DORA is nu officieel van toepassing en de AFM en DNB houden toezicht op de naleving. Voor een deel van de ondernemingen golden echter al DORA-gerelateerde vereisten vanuit bestaande wet- en regelgeving. Het is daarom van belang om te controleren of uw organisatie volledig voldoet aan de huidige normen, om risico’s en sancties te voorkomen.

Niet-naleving van DORA kan leiden tot:

  • Boetes en handhavingsmaatregelen door toezichthouders zoals de AFM en DNB.
  • Schade aan de reputatie, vooral bij grote ICT-incidenten die openbaar worden.
  • Operationele risico’s, zoals storingen en datalekken die de bedrijfscontinuïteit beïnvloeden.

Hoe wij uw organisatie kunnen ondersteunen

Onze ervaren consultants staan voor u klaar met oplossingen die direct resultaat opleveren:

  • Scan
    U begint uw traject met een uitgebreide scan die uw huidige stand van informatiebeveiliging, cyberveiligheid en compliance evalueert.
  • Project
    Een flexibel zes-stappenproces om te voldoen aan DORA wetgeving, aangepast aan uw specifieke behoeften en de gewenste normen.
  • In controle
    Borg DORA compliance met voortdurende evaluatie, planning en verbetering.

Compliance-beoordeling: Organisaties kunnen zowel interne als externe audits uitvoeren om te toetsen in hoeverre zij voldoen aan de DORA-richtlijnen.

Implementatie van beveiligingsmaatregelen: Het is essentieel dat organisaties sterke beveiligingsmaatregelen invoeren die aansluiten bij de vereisten van DORA.

Conclusie

Het implementeren van DORA kan uitdagend zijn, maar met de juiste begeleiding kunt u uw organisatie sterker en veerkrachtiger maken. Door een strategische aanpak en tijdige voorbereidingen voorkomt u boetes, reputatieschade en operationele risico’s.

Met de integrale aanpak van Samoerai legt u een stevige basis voor duurzame informatiebeveiliging. Neem vandaag nog contact op voor een vrijblijvend adviesgesprek en ontdek hoe wij u kunnen helpen om volledig DORA-compliant te worden.

Wilt u meer weten over Digital Operational Resilience Act (DORA)?

Als u meer wilt weten over de Europese verordening, neem dan contact met ons op. Wij zijn experts op het gebied van informatiebeveiliging en hebben al veel organisaties binnen de financiële sector succesvol ondersteund.

Neem contact op

Direct advies?

Neem contact met ons op