DORA Compliance Statistieken 2026: 60+ Feiten over Reikwijdte, Gereedheid en Handhaving
De Digital Operational Resilience Act (DORA) is per 17 januari 2025 volledig van toepassing geworden, waarmee het een van de meest ingrijpende regelgevingsmijlpalen voor de Europese financiële sector is. DORA verplicht meer dan 22.000 financiële entiteiten en hun ICT-dienstverleners om te voldoen aan strenge normen voor ICT-risicobeheer, incidentrapportage, weerbaarheidstesten en risicobeheer van derden.
Deze pagina bevat geverifieerde statistieken over de reikwijdte van DORA, nalevingsgereedheid, het sanctiekader, toezicht op ICT-dienstverleners, cyberdreigingen voor de financiële sector en implementatiekosten. Elk cijfer is afkomstig van officiële EU-toezichthouders, regelgevende instanties en geverifieerde brancherapporten.
Reikwijdte en Omvang van DORA
DORA is van toepassing op 21 soorten financiële entiteiten en hun ICT-dienstverleners. In tegenstelling tot veel financiële regelgeving die zich uitsluitend op banken richt, bestrijkt DORA de volledige breedte van de EU-financiële sector.
| Statistiek | Bron |
|---|---|
| Meer dan 22.000 financiële entiteiten en ICT-dienstverleners vallen onder de reikwijdte van DORA in de EU | Palo Alto Networks; PwC |
| 21 soorten financiële entiteiten vallen onder DORA Artikel 2 | ESMA DORA Overview |
Financiële Entiteiten binnen de Reikwijdte
DORA is van toepassing op kredietinstellingen (banken), betalingsinstellingen, instellingen voor elektronisch geld, beleggingsondernemingen, aanbieders van cryptoactivadiensten (CASPs), centrale effectenbewaarinstellingen (CSDs), centrale tegenpartijen (CCPs), handelsplatformen, transactieregisters, beheerders van alternatieve beleggingsinstellingen (AIFMs), beheermaatschappijen van UCITS, verzekerings- en herverzekeringsondernemingen, verzekerings- en hertussenpersonen, instellingen voor bedrijfspensioenvoorziening, kredietbeoordelaars, wettelijke auditors en auditkantoren, beheerders van kritische benchmarks, aanbieders van crowdfundingdiensten, securitisatieregisters en aanbieders van datarapportagediensten.
Bron: LegalNodes DORA Compliance Guide
Nalevingsgereedheid van DORA
Onderzoeken uit meerdere bronnen schetsen een duidelijk beeld: de financiële sector had moeite om volledige DORA-naleving te bereiken vóór de deadline van januari 2025.
McKinsey-onderzoek (maart 2024, 18 bestuurders van toonaangevende EU-financiële instellingen)
| Statistiek | Bron |
|---|---|
| Slechts ongeveer een derde van de financiële instellingen had er vertrouwen in alle DORA-vereisten vóór januari 2025 te kunnen vervullen | McKinsey - "Europe's new resilience regime" (juni 2024) |
| 70% zei dat DORA-naleving zou resulteren in permanent hogere operationele kosten voor technologie | McKinsey (juni 2024) |
| Bij ongeveer 50% van de instellingen leidt de IT-organisatie de DORA-implementatie | McKinsey (juni 2024) |
CSSF Luxembourg-onderzoek (augustus/september 2024, ~500 entiteiten)
| Statistiek | Bron |
|---|---|
| 90% had hun DORA-gapanalyse afgerond | CSSF - Results of DORA readiness survey (oktober 2024) |
| Meer dan twee derde (~67%) beschouwde zichzelf als "gedeeltelijk gereed" | CSSF (oktober 2024) |
| Bijna een kwart (~25%) beschouwde zichzelf als "bijna gereed" | CSSF (oktober 2024) |
| Slechts 1 entiteit beschouwde zichzelf als volledig gereed | CSSF (oktober 2024) |
IDC-onderzoek (mei 2024)
| Statistiek | Bron |
|---|---|
| 49% van de respondenten: "We zijn op de hoogte van DORA maar hebben nog geen verkennend werk ondernomen" | IDC - "Final Countdown to DORA" |
| 14% gaf toe: "We zijn niet op de hoogte van DORA" | IDC - "Final Countdown to DORA" |
Deloitte Europees onderzoek (begin 2025, in 28 Europese landen)
| Statistiek | Bron |
|---|---|
| Slechts 25% van de entiteiten voelt zich compliant op Pijler I (ICT-risicobeheer) | Deloitte Luxembourg - DORA European Survey 2025 |
| 48% heeft protocollen voor ICT-incidentbeheer gereed (Pijler II) | Deloitte (2025) |
| Slechts 8% bereikte volledige naleving op Pijlers III en IV (Testen en Risicobeheer van Derden) | Deloitte (2025) |
| 46% identificeert het informatieregister als de meest uitdagende taak | Deloitte (2025) |
Kosten van DORA-naleving
De kosten van DORA-naleving variëren aanzienlijk op basis van de omvang en complexiteit van de entiteit. Grote financiële groepen worden geconfronteerd met programma's van meerdere miljoenen euro's, terwijl de testvereisten alleen al een aanzienlijke doorlopende kostenpost vormen.
| Statistiek | Bron |
|---|---|
| 83% van de financiële entiteiten heeft een kostenraming voor naleving | Deloitte - DORA European Survey 2025 |
| 64% is van plan EUR 2-5 miljoen uit te geven aan DORA-naleving | Deloitte (2025) |
| Gemiddelde bezetting: 5-8 FTE's per instelling gewijd aan DORA | Deloitte (2025) |
| Eén grote financiële groep rapporteerde totale DORA-programmakosten van bijna EUR 100 miljoen | Deloitte (2025) |
| Kosten voor threat-led penetration testing (TLPT) worden geschat op 0,1%-0,3% van het totale ICT-budget | Compact.nl, met verwijzing naar ESA's |
DORA-sancties en Handhaving
Het sanctiekader van DORA is op EU-niveau vastgesteld maar laat aanzienlijke beoordelingsruimte aan de lidstaten, wat resulteert in uiteenlopende nationale implementaties.
EU-sanctiekader (DORA Artikel 50)
| Type sanctie | Maximum |
|---|---|
| Boetes voor financiële entiteiten | Tot 2% van de totale jaarlijkse wereldwijde omzet |
| Boetes voor natuurlijke personen bij financiële entiteiten | Tot EUR 1.000.000 |
| Boetes voor Kritieke ICT-Dienstverleners (CTPPs) | Tot EUR 5.000.000 |
| Boetes voor natuurlijke personen bij CTPPs | Tot EUR 500.000 |
| Dagelijkse dwangsommen voor CTPPs (voortdurende niet-naleving) | Tot 1% van de gemiddelde dagelijkse wereldwijde omzet, voor maximaal 6 maanden |
Bron: QuoIntelligence - DORA Explained
Nationale Verschillen in Sanctie-implementatie
Lidstaten hebben de sanctiebepalingen van DORA met aanzienlijke variatie geïmplementeerd, zoals gedocumenteerd door DLA Piper in oktober 2025:
| Land | Omzetgerelateerd plafond | Absoluut plafond (Entiteiten) | Individueel plafond |
|---|---|---|---|
| Spanje | 5% van de omzet | - | - |
| Zweden | 10% van de omzet | - | - |
| Tsjechië | - | EUR 2 miljoen | - |
| Italië | - | EUR 20 miljoen | - |
| Duitsland | - | - | EUR 5 miljoen |
| Finland | - | - | EUR 100.000 |
Bron: DLA Piper - "Divergence in administrative penalties under DORA" (oktober 2025)
Aanvullende Handhavingsbevoegdheden
Naast financiële sancties hebben toezichthoudende autoriteiten de bevoegdheid om openbare bekendmakingen van overtredingen te doen, bindende herstelmaatregelen op te leggen, bedrijfsactiviteiten op te schorten of te beperken, en vergunningen of licenties in te trekken.
Bron: BOC Group - DORA Compliance Penalties
Strafrechtelijke Aansprakelijkheid
DORA Artikel 52 staat lidstaten toe strafrechtelijke sancties op te leggen. Bestuursleden kunnen persoonlijk civielrechtelijk aansprakelijk worden gesteld en mogelijk strafrechtelijk aansprakelijk bij grove nalatigheid in het waarborgen van digitale operationele weerbaarheid.
Bron: Avenga - Guide to DORA's Penalties
Kritieke ICT-Dienstverleners (CTPPs)
Op 18 november 2025 publiceerden de Europese Toezichthoudende Autoriteiten de allereerste lijst van Kritieke ICT-Dienstverleners onder DORA. Deze 19 aanbieders staan nu onder direct toezicht van het Joint Oversight Forum.
De 19 Aangewezen Kritieke ICT-Dienstverleners
| # | Aanbieder |
|---|---|
| 1 | Accenture plc |
| 2 | Amazon Web Services EMEA Sarl |
| 3 | Bloomberg L.P. |
| 4 | Capgemini SE |
| 5 | Colt Technology Services |
| 6 | Deutsche Telekom AG |
| 7 | Equinix (EMEA) B.V. |
| 8 | Fidelity National Information Services, Inc. (FIS) |
| 9 | Google Cloud EMEA Limited |
| 10 | International Business Machines Corporation (IBM) |
| 11 | InterXion HeadQuarters B.V. |
| 12 | Kyndryl Inc. |
| 13 | LSEG Data and Risk Limited |
| 14 | Microsoft Ireland Operations Limited |
| 15 | NTT DATA Inc. |
| 16 | Oracle Nederland B.V. |
| 17 | Orange SA |
| 18 | SAP SE |
| 19 | Tata Consultancy Services Limited |
Bron: EIOPA-persbericht (18 november 2025); PwC Legal-analyse
Informatieregister
Alle financiële entiteiten onder DORA moeten een register bijhouden van alle contractuele overeenkomsten met ICT-dienstverleners. Referentiedatum: 31 maart 2025. Nationale autoriteiten hebben registers vóór 30 april 2025 doorgestuurd aan de ESA's voor de aanwijzingsanalyse.
Bron: EBA - ESAs announce timeline for CTPP designation
DORA ICT-incidentrapportage
DORA introduceert een van de strengste kaders voor incidentrapportage in de financiële regelgeving, met rapportagetermijnen gemeten in uren in plaats van dagen.
Rapportagetermijnen (Gedelegeerde Verordening van de Commissie 2025/302)
| Rapport | Deadline |
|---|---|
| Detectie tot classificatie | Maximaal 24 uur |
| Eerste melding | 4 uur na classificatie als ernstig incident |
| Tussentijds rapport | 72 uur na eerste melding |
| Eindrapport | 1 maand na tussentijds rapport |
Bron: QuoIntelligence; Securiti - EU Regulation 2025/302
Classificatiecriteria
Een ICT-incident wordt als ernstig geclassificeerd wanneer kritieke diensten nadelig worden beïnvloed EN ofwel: (a) een succesvolle kwaadwillige ongeautoriseerde toegang plaatsvindt die kan leiden tot gegevensverlies, OF (b) twee of meer materialiteitsdrempels worden bereikt (getroffen klanten, financiële tegenpartijen of transacties).
Bron: FMA Austria - DORA ICT-related incidents
Threat-Led Penetration Testing (TLPT)
DORA verplicht geavanceerde beveiligingstesten voor significante financiële entiteiten, voortbouwend op het TIBER-EU-kader met juridisch bindende vereisten.
| Statistiek | Bron |
|---|---|
| TLPT is verplicht om de 3 jaar voor entiteiten die door hun toezichthouder als "significant" zijn aangemerkt | DORA Artikel 26 |
| Eerste TLPT-deadline: 17 januari 2028 (3 jaar na de toepassingsdatum van DORA) | TIBER.info |
| Purple teaming is verplicht onder DORA (slechts aanbevolen onder TIBER-EU) | Yogosha |
| De aanbieder van dreigingsinformatie moet altijd extern zijn | DORA TLPT RTS |
| Elke derde test moet worden uitgevoerd door een extern red team | DORA TLPT RTS |
| TLPT RTS gepubliceerd op 18 juni 2025, van kracht op 8 juli 2025 | TIBER.info |
Cyberdreigingen in de Financiële Sector
De volgende gegevens van ENISA en andere gezaghebbende bronnen illustreren het dreigingslandschap waarvoor DORA is ontworpen.
ENISA Dreigingslandschap: Financiële Sector (januari 2023 - juni 2024)
| Statistiek | Bron |
|---|---|
| 488 publiekelijk gemelde incidenten die de Europese financiële sector troffen | ENISA - Threat Landscape: Finance Sector (februari 2025) |
| Banken (kredietinstellingen) waren het meest getroffen entiteitstype met 46% van alle incidenten | ENISA (februari 2025) |
| Publieke financiële organisaties: 13% van de incidenten | ENISA (februari 2025) |
| DDoS-aanvallen: 58% richtte zich specifiek op banken | ENISA (februari 2025) |
| Ransomware: 29% trof financiële dienstverleners, 17% trof verzekeringsorganisaties | ENISA (februari 2025) |
| 200% jaar-op-jaar toename van malwarefamilies gericht op bankapplicaties | ENISA (februari 2025) |
| 29 supply chain-gerelateerde aanvallen geïdentificeerd in de financiële sector | ENISA (februari 2025) |
IMF Global Financial Stability Report (april 2024)
| Statistiek | Bron |
|---|---|
| Bijna een vijfde van de gemelde cyberincidenten in de afgelopen twee decennia trof de mondiale financiële sector | IMF GFSR april 2024, Hoofdstuk 3 |
| USD 12 miljard aan directe verliezen voor financiële bedrijven over twee decennia aan cyberincidenten | IMF (april 2024) |
| USD 2,5 miljard aan directe verliezen voor financiële bedrijven sinds 2020 alleen | IMF (april 2024) |
| Extreme verliezen door cyberaanvallen zijn sinds 2017 verviervoudigd | IMF (april 2024) |
| Slechts ongeveer de helft van de onderzochte landen had een nationale cybersecuritystrategie gericht op de financiële sector | IMF (april 2024) |
Wereldwijde Incidenten in de Financiële Sector
| Statistiek | Bron |
|---|---|
| 3.348 gemelde cyberincidenten in de financiële sector wereldwijd in 2023, een stijging ten opzichte van 1.829 in 2022 (83% jaar-op-jaar toename) | Statista |
ECB Cyber Resilience Stresstest (juli 2024)
| Statistiek | Bron |
|---|---|
| 109 direct onder toezicht staande banken werden getest | ECB Banking Supervision (26 juli 2024) |
| 28 banken ondergingen uitgebreide tests met daadwerkelijke IT-hersteltests en inspecties ter plaatse | ECB (juli 2024) |
| Geteste scenario: alle preventieve maatregelen falen, cyberaanval beschadigt databases van kernsystemen ernstig | ECB (juli 2024) |
| Bevinding: banken beschikken over respons- en herstelkaders maar "er zijn nog verbeterpunten" | ECB (juli 2024) |
DORA Informatie-uitwisseling (Artikel 45)
DORA moedigt financiële entiteiten aan (maar verplicht niet) om inlichtingen over cyberdreigingen uit te wisselen. Hoewel informatie-uitwisseling zelf vrijwillig is, zijn entiteiten verplicht om toezichthouders te informeren over hoe zij deelnemen aan regelingen voor informatie-uitwisseling.
Gedeelde inlichtingen omvatten indicatoren van compromittering, tactieken/technieken/procedures, cybersecuritywaarschuwingen en configuratietools. Regelingen moeten gevoelige informatie beschermen en zakelijke vertrouwelijkheid, bescherming van persoonsgegevens en mededingingsrecht respecteren.
Bron: DORA Artikel 45; FS-ISAC DORA Information Sharing Requirements
Technische Standaarden van DORA
De Europese Toezichthoudende Autoriteiten (EBA, ESMA, EIOPA) hebben in totaal 11 regelgevingsproducten ontwikkeld om DORA te operationaliseren:
Eerste Batch (januari 2024, gepubliceerd in het Publicatieblad juni 2024): 3 RTS + 1 ITS
- RTS over ICT-risicobeheersingskaders
- RTS over criteria voor de classificatie van ICT-gerelateerde incidenten
- RTS over beleid inzake ICT-diensten door derden ter ondersteuning van kritieke functies
- ITS voor het vaststellen van sjablonen voor het uitbestedingsregister
Tweede Batch (juli 2024): 4 RTS + 1 ITS + 2 Richtsnoeren
Bron: EBA - ESAs published second batch of policy products under DORA
DORA Tijdlijn
| Datum | Gebeurtenis |
|---|---|
| 24 september 2020 | Europese Commissie publiceerde het DORA-voorstel |
| 27 december 2022 | Gepubliceerd in het Publicatieblad van de Europese Unie |
| 16 januari 2023 | DORA trad in werking |
| 17 januari 2024 | Eerste batch RTS/ITS afgerond door ESA's |
| 25 juni 2024 | Eerste batch RTS gepubliceerd in het Publicatieblad |
| 17 juli 2024 | Tweede batch RTS/ITS/Richtsnoeren afgerond door ESA's |
| 17 januari 2025 | DORA werd volledig van toepassing (geen overgangsperiode) |
| 31 maart 2025 | Referentiedatum voor het informatieregister |
| 11 april 2025 | BaFin (Duitsland) deadline voor indiening informatieregister |
| 15 april 2025 | ACPR (Frankrijk) deadline voor indiening informatieregister |
| 30 april 2025 | ESA's deadline voor het verzamelen van registers bij nationale autoriteiten |
| 8 juli 2025 | TLPT RTS werd van kracht |
| 18 november 2025 | Eerste lijst van 19 Kritieke ICT-Dienstverleners gepubliceerd |
| 17 januari 2028 | Deadline voor eerste ronde verplichte TLPT voor significante entiteiten |
De Vijf Pijlers van DORA
DORA is opgebouwd rond vijf pijlers, elk met specifieke vereisten:
Pijler I: ICT-risicobeheer
Entiteiten moeten uitgebreide ICT-risicobeheersingskaders opzetten die identificatie, bescherming, detectie, respons en herstel omvatten. Slechts 25% van de entiteiten rapporteerde zich compliant te voelen op deze pijler (Deloitte 2025).
Pijler II: ICT-gerelateerd incidentbeheer en rapportage
Ernstige ICT-incidenten moeten binnen 24 uur worden geclassificeerd en binnen 4 uur na classificatie aan toezichthoudende autoriteiten worden gemeld. 48% van de entiteiten heeft protocollen gereed (Deloitte 2025).
Pijler III: Testen van digitale operationele weerbaarheid
Regelmatige testen van ICT-systemen zijn vereist, waarbij TLPT elke 3 jaar verplicht is voor significante entiteiten. Slechts 8% bereikte volledige naleving (Deloitte 2025).
Pijler IV: ICT-risicobeheer van derden
Entiteiten moeten een register bijhouden van alle ICT-overeenkomsten met derden en concentratierisico beoordelen. Slechts 8% bereikte volledige naleving (Deloitte 2025). 46% identificeert dit als de meest uitdagende vereiste.
Pijler V: Informatie-uitwisseling
Vrijwillige uitwisseling van inlichtingen over cyberdreigingen tussen financiële entiteiten, met verplichte melding aan toezichthouders over deelname aan uitwisselingsregelingen.
Veelgestelde Vragen
V: Hoeveel financiële entiteiten worden door DORA geraakt?
A: Meer dan 22.000 financiële entiteiten en ICT-dienstverleners vallen onder de reikwijdte van DORA in de EU. Dit omvat 21 soorten financiële entiteiten, van banken en verzekeraars tot aanbieders van cryptoactivadiensten en crowdfundingplatforms, plus hun ICT-dienstverleners.
V: Wat zijn de maximale DORA-boetes?
A: Financiële entiteiten riskeren boetes tot 2% van de totale jaarlijkse wereldwijde omzet. Natuurlijke personen bij financiële entiteiten riskeren boetes tot EUR 1.000.000. Kritieke ICT-Dienstverleners riskeren boetes tot EUR 5.000.000, met dagelijkse dwangsommen tot 1% van de gemiddelde dagelijkse omzet bij voortdurende niet-naleving. Sommige lidstaten hebben hogere plafonds ingevoerd, waarbij Zweden tot 10% van de omzet toestaat.
V: Welk percentage van de financiële instellingen was DORA-compliant vóór januari 2025?
A: Zeer weinig. Een McKinsey-onderzoek wees uit dat slechts een derde er vertrouwen in had de deadline te kunnen halen. Een CSSF Luxembourg-onderzoek onder ~500 entiteiten vond dat slechts 1 entiteit zichzelf als volledig gereed beschouwde. Een Deloitte-onderzoek in 28 landen wees uit dat slechts 8% volledig compliant was op de pijlers voor testen en risicobeheer van derden.
V: Hoeveel kost DORA-naleving?
A: Volgens een Deloitte-onderzoek is 64% van de financiële entiteiten van plan EUR 2-5 miljoen uit te geven aan DORA-naleving, met een gemiddelde bezetting van 5-8 toegewijde FTE's. Eén grote financiële groep rapporteerde programmakosten van bijna EUR 100 miljoen. TLPT-kosten worden geschat op 0,1%-0,3% van het totale ICT-budget. McKinsey stelde vast dat 70% van de bestuurders verwacht dat DORA permanent hogere technologiekosten met zich meebrengt.
V: Wat zijn de DORA-termijnen voor incidentrapportage?
A: DORA vereist detectie-tot-classificatie binnen 24 uur, eerste melding binnen 4 uur na classificatie, een tussentijds rapport binnen 72 uur en een eindrapport binnen 1 maand.
V: Welke ICT-aanbieders zijn als Kritiek aangewezen onder DORA?
A: Op 18 november 2025 publiceerden de ESA's de eerste lijst van 19 Kritieke ICT-Dienstverleners. De lijst omvat AWS, Google Cloud, Microsoft, IBM, SAP, Oracle, Accenture, Bloomberg en anderen. Deze aanbieders staan onder direct toezicht van het Joint Oversight Forum.
Alle statistieken op deze pagina zijn afkomstig van officiële EU-toezichthouders, regelgevende instanties en geverifieerde brancherapporten. Primaire bronnen zijn onder meer de Europese Toezichthoudende Autoriteiten (EBA, ESMA, EIOPA), ENISA, ECB Banking Supervision, het IMF Global Financial Stability Report, McKinsey, Deloitte, CSSF Luxembourg, IDC, DLA Piper en de DORA-verordening zelf. Deze pagina wordt regelmatig bijgewerkt zodra nieuwe handhavingsgegevens beschikbaar komen.
Laatst bijgewerkt: maart 2026