{{ getMenuName(animateLayers) }}

Inhoud

  • Sarphatistraat 7
    1017 WS Amsterdam
    logo-gemeente-amsterdam (1)
  • Aert van Nesstraat 45
    3012 CA Rotterdam
    Group 47
  • Kastanjelaan 400
    5616 LZ Eindhoven
    eindhoven_pms485_liggend_bb (1)
  • Lange Lozanastraat 142 B2
    2018 Antwerpen

EU Digital Decade: DORA

februari 2026

Digital Operational Resilience Act. Digitale weerbaarheid voor de financiële sector.

Sparren over DORA wetgeving en de te ondernemen stappen voor uw organisatie?
Vraag een vrijblijvend gesprek aan

 

Rol DORA in EU Digital Decade

In het derde deel van onze blogreeks over de EU Digital Decade-wetgeving staat de Digital Operational Resilience Act (DORA) centraal. Deze verordening richt zich specifiek op de financiële sector en stelt strenge eisen aan de digitale weerbaarheid van financiële instellingen.

Financiële dienstverlening worden steeds meer afhankelijk van IT-systemen en externe leveranciers, waardoor het essentieel is dat financiële instellingen bestand zijn tegen bijvoorbeeld cyberaanvallen. Bovendien kan een incident bij één instelling snel gevolgen hebben voor andere instellingen en zo grote risico’s met zich meebrengen.

DORA creëert een uniform kader voor digitale operationele weerbaarheid in de gehele financiële sector, van banken en verzekeraars tot beleggingsondernemingen en cryptodienstverleners.

Voor wie geldt DORA?

DORA heeft een brede reikwijdte en is van toepassing op nagenoeg alle financiële entiteiten. Denk aan banken, betalingsinstellingen, beleggingsondernemingen, verzekeraars, pensioenfondsen, cryptodienstverleners, kredietbeoordelaars en handelsplatformen.

Daarnaast voert DORA ook toezicht in op kritieke ICT-dienstverleners aan de financiële sector, zoals clouddienstverleners, datacenters en softwareleveranciers. Dit is een belangrijke uitbreiding, omdat financiële instellingen vaak sterk afhankelijk zijn van een beperkt aantal grote ICT-leveranciers.

Welke verplichtingen brengt DORA met zich mee?

DORA rust op vijf pijlers die samen de digitale weerbaarheid moeten waarborgen:

  1. ICT-risicobeheer
    Financiële entiteiten moeten een solide ICT-risicobeheerkader implementeren dat is afgestemd op hun omvang en risicoprofiel. Dit omvat het identificeren, beschermen, detecteren, reageren op en herstellen van ICT-risico’s. Het beheerkader moet regelmatig worden getest en geëvalueerd, en een duidelijke governance met verantwoordelijkheden op bestuursniveau is vereist.
  2. Beheer en classificatie van ICT-gerelateerde incidenten
    Financiële instellingen dienen processen te hebben voor het monitoren, registreren en classificeren van ICT-incidenten. Er geldt een meldingsplicht voor significante incidenten aan de bevoegde toezichthouders binnen strikte termijnen. DORA introduceert uniforme classificatiecriteria en meldingsprocedures voor de gehele EU, wat de transparantie en het toezicht verbetert.
  3. Testen van digitale operationele weerbaarheid
    De wetgeving verplicht organisaties om regelmatig testen uit te voeren ter evaluatie van hun weerbaarheid. Voor grotere en meer kritieke instellingen schrijft DORA geavanceerde penetratietesten voor, de zogenaamde Threat-Led Penetration Testing (TLPT). Deze tests moeten worden uitgevoerd door onafhankelijke testers en simuleren realistische aanvalsscenario’s.
  4. Beheer van ICT-risico’s van derde partijen
    Een van de meest impactvolle aspecten van DORA is de regulering van uitbesteding aan ICT-dienstverleners. Financiële entiteiten moeten onder andere een duidelijk overzicht hebben van alle ICT-diensten die zij uitbesteden in een register en exit-strategieën ontwikkelen om vendor lock-in te voorkomen. Ook schrijft DORA voor waaraan een contract met een ICT-dienstverlener moet voldoen; een volledige beschrijving van de dienstverlening, alsmede een volledige beschrijving van de overeengekomen serviceniveaus, afspraken over toegankelijkheid, beschikbaarheid, integriteit en beveiliging van (persoons)gegevens, garanties voor toegang, herstel en teruggave bij storingen van de ICT-dienstverlener en rapportageverplichtingen.
  5. Informatie-uitwisseling
    DORA moedigt financiële instellingen aan om informatie uit te wisselen over cyberdreigingen en kwetsbaarheden. Dit kan helpen om aanvallen sneller te identificeren en collectieve verdedigingsmechanismen te ontwikkelen.

Handhaving en sancties

Als EU-verordening heeft DORA directe werking, waarbij de nationale toezichthouders verantwoordelijk zijn voor de handhaving. Bij niet-naleving kunnen significante administratieve sancties worden opgelegd, waarvan de hoogte afhangt van de ernst van de overtreding en de omvang van de instelling.

Naast boetes kunnen toezichthouders ook andere maatregelen opleggen, zoals het verplicht uitvoeren van audits, het opschorten van bepaalde activiteiten, of het afgeven van publieke waarschuwingen.

Wat moet uw organisatie nu doen?

Als uw financiële instelling onder DORA valt, zijn dit de essentiële stappen:

Stap 1: Voer een compliance-check uit
Beoordeel of uw organisatie voldoet aan de DORA-vereisten. Breng in kaart welke ICT-systemen en -processen kritiek zijn voor uw bedrijfsvoering en evalueer of uw huidige beveiligingsmaatregelen, incidentrespons en testprocedures voldoen aan de normen.

Stap 2: Inventariseer en toets uw ICT-dienstverleners
Controleer of u een volledig overzicht heeft van alle externe ICT-dienstverleners, of kritieke diensten correct zijn geclassificeerd, en of uw contracten voldoen aan de DORA-eisen.

Stap 3: Herstel eventuele tekortkomingen
Identificeer tekortkomingen en neem maatregelen om deze aan te pakken. Stel prioriteiten op basis van risico en wettelijke vereisten. Sluit in het geval van geïdentificeerde tekortkomingen een DORA-addendum met de betreffende ICT-dienstverlener om mitigerende contractuele maatregelen te nemen.

Stap 4: Versterk governance en bewustzijn
Zorg dat het bestuur betrokken is bij ICT-risicobeheer en regelmatig wordt geïnformeerd. Investeer in training van medewerkers en zorg dat er duidelijke verantwoordelijkheden zijn belegd.

Stap 5: Implementeer testprogramma’s
Ontwikkel een structureel programma voor het testen van uw digitale weerbaarheid, inclusief penetratietesten indien vereist voor uw organisatie.

Stap 6: Stel incidentresponsplannen op
Zorg voor heldere procedures voor het detecteren, melden en afhandelen van ICT-incidenten, en oefen deze regelmatig met realistische scenario’s.

Heeft u vragen over DORA?

De implementatie van DORA vereist een grondige analyse van uw ICT-landschap, risico’s en contracten met dienstverleners. Het team van Halsten staat klaar om u te adviseren bij de voorbereiding en naleving van DORA. Neem gerust contact op met een van onze privacy experts:

legal counsel privacyrecht, o.a. DORA - Allard Koers
Allard Koers
allard.koers@halsten.nl

Legal counsel privacyrecht bij Halsten - Céline Teeuwen
Céline Teeuwen
celine.teeuwen@halsten.nl

Legal counsel privacyrecht bij Halsten - Linde Lotte van de Ven
Linde Lotte van de Ven
lindelotte.vandeven@halsten.nl


Andrea Cuijpers
andrea.cuijpers@halsten.nl

Andere artikelen

halsten divider copy 6
Alle nieuws & events
halsten divider copy 6