NIS2 & DORA van kracht. EU AI Act volgt — boek een demo
Alle frameworks
Raamwerk

DORA-compliance, volledig geautomatiseerd

De Digital Operational Resilience Act is nu verplicht voor financiële entiteiten in de EU. Matproof dekt alle vijf DORA-pijlers — van ICT-risicobeheer tot het Art. 28-aanbiederregister.

Demo aanvragen

Wat is de Digital Operational Resilience Act (DORA)?

De Digital Operational Resilience Act (DORA), formeel bekend als EU-verordening 2022/2554, is een uitgebreid regelgevend kader dat is ontworpen om de digitale operationele weerbaarheid van de Europese financiële sector te versterken. Aangenomen door het Europees Parlement in november 2022 en verplicht sinds 17 januari 2025, stelt DORA uniforme vereisten vast om ervoor te zorgen dat financiële entiteiten ICT-gerelateerde verstoringen en bedreigingen kunnen weerstaan, erop kunnen reageren en ervan kunnen herstellen.

DORA is ingevoerd als reactie op de groeiende afhankelijkheid van financiële instellingen van informatie- en communicatietechnologie (ICT). Naarmate financiële diensten steeds meer gedigitaliseerd worden, is de potentiële impact van cyberincidenten, systeemuitval en technologische verstoringen op de financiële stabiliteit aanzienlijk toegenomen. De verordening pakt de gefragmenteerde benadering van ICT-risicobeheer aan die voorheen bestond in de EU-lidstaten door één geharmoniseerd kader te creëren.

In tegenstelling tot veel EU-richtlijnen die nationale omzetting vereisen, is DORA een verordening die direct en uniform van toepassing is in alle EU-lidstaten. Dit betekent dat financiële entiteiten in Duitsland, Frankrijk, Nederland en elk ander EU-land aan exact dezelfde vereisten moeten voldoen. De verordening wordt aangevuld met een reeks Regulatory Technical Standards (RTS) en Implementing Technical Standards (ITS), ontwikkeld door de Europese toezichthoudende autoriteiten (ESA's) - EBA, EIOPA en ESMA.

DORA is opgebouwd rond vijf kernpijlers die samen een alomvattende benadering van digitale operationele weerbaarheid vormen: ICT-risicobeheer, ICT-gerelateerd incidentbeheer en -rapportage, digitale operationele weerbaarheidstesten, beheer van ICT-risico's van derden, en informatie- en inlichtingendeling. Elke pijler bevat specifieke verplichtingen die financiële entiteiten moeten implementeren, met proportionaliteit op basis van de omvang, het risicoprofiel en de complexiteit van de ICT-diensten van de entiteit.

Wie heeft DORA-compliance nodig?

DORA is van toepassing op circa 22.000 financiële entiteiten in de Europese Unie. Het toepassingsgebied is bewust breed om een alomvattende dekking van het financiële ecosysteem en zijn ICT-afhankelijkheden te waarborgen. De volgende soorten entiteiten vallen onder DORA:

Financiële entiteiten

  • Kredietinstellingen (banken)
  • Betalingsinstellingen en instellingen voor elektronisch geld
  • Beleggingsondernemingen en fondsbeheerders
  • Verzekerings- en herverzekeringsondernemingen
  • Aanbieders van cryptoactivadiensten
  • Centrale effectenbewaarinstellingen

ICT-dienstverleners

  • Aanbieders van cloudcomputingdiensten
  • Software-as-a-Service (SaaS)-aanbieders
  • Aanbieders van data-analyse en datacenters
  • Kritieke ICT-derdedienstverleners (CTPP's)
  • Aanbieders van managed security-diensten
  • Aanbieders van IT-infrastructuur en netwerken

In Nederland is De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) verantwoordelijk voor het toezicht op DORA-compliance. Zij werken binnen het bredere Europese toezichtkader samen met de ECB/SSM voor significante instellingen en de ESA's voor regulatory technical standards. Nederlandse financiële entiteiten die al onder DNB-vereisten vallen, zullen significante overlap met DORA aantreffen, hoewel de EU-verordening aanvullende vereisten introduceert - met name rond weerbaarheidstesten en toezicht op risico's van derden.

Not sure if you're compliant?

Take the free DORA readiness assessment — 10 questions, 3 minutes.

Check your readiness

DORA-kernvereisten: de 5 pijlers in detail

1. ICT-risicobeheerframework (artikelen 5-16)

Financiële entiteiten moeten een alomvattend ICT-risicobeheerframework opzetten en onderhouden als onderdeel van hun algehele risicobeheersysteem. Dit omvat identificatie van alle ICT-ondersteunde bedrijfsfuncties, classificatie van informatiemiddelen, continue risicobeoordelingen en implementatie van beschermings-, detectie- en responsmaatregelen. Het bestuur draagt de eindverantwoordelijkheid en moet het ICT-risicobeheerframework goedkeuren en regelmatig beoordelen, adequaat budget toewijzen en op de hoogte blijven van ICT-risico's.

2. ICT-gerelateerd incidentbeheer en -rapportage (artikelen 17-23)

DORA introduceert een gestandaardiseerd kader voor het classificeren, beheren en rapporteren van ICT-gerelateerde incidenten. Financiële entiteiten moeten processen implementeren om incidenten te detecteren, beheren en loggen aan de hand van criteria zoals het aantal getroffen klanten, de duur, geografische spreiding en kriticiteit van getroffen diensten. Ernstige incidenten moeten worden gemeld bij de bevoegde autoriteit via voorgeschreven sjablonen - een eerste melding binnen 4 uur na classificatie, een tussentijds rapport binnen 72 uur en een eindrapport binnen één maand.

3. Digitale operationele weerbaarheidstesten (artikelen 24-27)

Alle financiële entiteiten binnen het toepassingsgebied moeten regelmatig hun ICT-systemen en -tools testen. Basistesten (kwetsbaarheidsevaluaties, netwerkbeveiligingsbeoordelingen, gap-analyses) moeten minstens jaarlijks worden uitgevoerd. Significante financiële entiteiten moeten ook geavanceerde testen ondergaan via Threat-Led Penetration Testing (TLPT) minstens elke drie jaar, uitgevoerd door gekwalificeerde externe testers volgens het TIBER-EU-framework. TLPT-testen moeten kritieke functies en diensten dekken en resultaten moeten worden gedeeld met de bevoegde autoriteit.

4. Beheer van ICT-risico's van derden (artikelen 28-44)

DORA legt uitgebreide verplichtingen op voor het beheer van risico's die voortvloeien uit ICT-derdedienstverleners. Financiële entiteiten moeten een register bijhouden van alle contractuele afspraken met ICT-aanbieders (het Informatieregister op grond van artikel 28, lid 3), grondig due diligence-onderzoek uitvoeren voor onboarding en specifieke contractuele bepalingen opnemen over beveiliging, auditrechten, datalocatie en exitstrategieën. Kritieke ICT-derdedienstverleners (CTPP's) worden rechtstreeks onder toezicht gesteld door de ESA's via een dedicated toezichtkader.

5. Informatie- en inlichtingendeling (artikel 45)

DORA moedigt financiële entiteiten aan om op vrijwillige basis informatie en inlichtingen over cyberdreigingen onderling uit te wisselen. Dit omvat indicatoren van compromittering (IoC's), tactieken, technieken en procedures (TTP's), en cybersecuritywaarschuwingen. Informatiedeling moet voldoen aan gegevensbeschermingsregels en worden uitgevoerd via vertrouwde gemeenschappen. Hoewel vrijwillig, wordt deelname aan informatiedelingsregelingen beschouwd als best practice en kan dit positief worden beoordeeld door toezichthouders.

6. ICT-bedrijfscontinuïteitsbeheer

Financiële entiteiten moeten een alomvattend ICT-bedrijfscontinuïteitsbeleid en bijbehorende noodherstelplannen ontwikkelen en onderhouden. Deze moeten minstens jaarlijks worden getest en alle kritieke functies en ondersteunende ICT-systemen dekken. De plannen moeten Recovery Time Objectives (RTO) en Recovery Point Objectives (RPO) bevatten, en entiteiten moeten ervoor zorgen dat zij kunnen overschakelen naar back-upsystemen en de bedrijfsvoering binnen vastgestelde termijnen kunnen herstellen. Regelmatige scenariogebaseerde oefeningen zijn vereist.

7. Governance en verantwoordelijkheden van het bestuur

DORA legt expliciete verantwoordelijkheid bij het bestuur (raad van bestuur of equivalent) voor ICT-risicobeheer. Leden moeten over adequate kennis van ICT-risico's beschikken, actief betrokken zijn bij het vaststellen van het ICT-risicobeheerframework en specifieke opleiding ondergaan. Het bestuur moet de ICT-risicostrategie definiëren, goedkeuren en toezien op de implementatie ervan, inclusief risicotolerantieniveaus. Het niet nakomen van deze verplichtingen kan leiden tot persoonlijke aansprakelijkheid.

Sancties bij niet-naleving van DORA

DORA stelt een robuust handhavingsregime vast met aanzienlijke financiële en persoonlijke gevolgen bij niet-naleving. Nationale bevoegde autoriteiten - zoals DNB en AFM in Nederland - beschikken over ruime toezichts- en onderzoeksbevoegdheden, waaronder de mogelijkheid om inspecties ter plaatse uit te voeren, informatie op te vragen en bindende bevelen uit te vaardigen.

Tot EUR 10 miljoen

of 5% van de totale jaaromzet voor financiële entiteiten (het hoogste bedrag geldt)

Tot EUR 5 miljoen

voor natuurlijke personen in managementposities die naleving niet waarborgen

Periodieke dwangsommen

CTPP's kunnen dagelijkse dwangsommen opgelegd krijgen tot 1% van de gemiddelde dagelijkse wereldwijde omzet totdat naleving is hersteld

Persoonlijke aansprakelijkheid

Bestuursleden dragen individuele verantwoordelijkheid voor nalevingsfouten, inclusief mogelijke diskwalificatie

Naast financiële sancties kan niet-naleving van DORA leiden tot reputatieschade, intrekking van vergunningen, verscherpt toezicht en beperkingen op bedrijfsactiviteiten. Bevoegde autoriteiten kunnen ook bevindingen van niet-naleving openbaar maken, wat aanzienlijke marktgevolgen kan hebben.

Hoe u begint met DORA-compliance

Aangezien DORA verplicht is geworden op 17 januari 2025, moeten financiële entiteiten actief werken aan volledige naleving. Hieronder vindt u een gestructureerde aanpak voor het bereiken en behouden van DORA-compliance:

  1. 1

    Gap-analyse en scoping

    Beoordeel uw huidige ICT-risicobeheermaatregelen ten opzichte van alle DORA-vereisten. Identificeer hiaten in de vijf pijlers en prioriteer herstelmaatregelen op basis van risico en verwachtingen van toezichthouders. Koppel bestaande controles uit BAIT, ISO 27001 of andere frameworks aan DORA-vereisten.

  2. 2

    ICT-risicobeheerframework

    Stel uw ICT-risicobeheerframework op of werk het bij met gedocumenteerde beleidsregels, procedures en controles. Definieer risicobereidheid, classificatiecriteria en wijs duidelijke rollen en verantwoordelijkheden toe. Zorg voor goedkeuring door het bestuur en dat toezichtmechanismen aanwezig zijn.

  3. 3

    Register van derden en leveranciersbeheer

    Bouw en onderhoud het Informatieregister (RoI) voor alle ICT-derdepartijafspraken. Beoordeel en actualiseer contracten om DORA-vereiste bepalingen op te nemen. Implementeer doorlopende monitoring en due diligence-processen voor kritieke en belangrijke ICT-aanbieders.

  4. 4

    Incidentbeheer en rapportage-inrichting

    Implementeer procedures voor incidentclassificatie, escalatie en rapportage in lijn met DORA-vereisten. Stel communicatiekanalen in met bevoegde autoriteiten en test rapportageworkflows. Zorg ervoor dat u de deadline van 4 uur voor eerste melding bij ernstige incidenten kunt halen.

  5. 5

    Weerbaarheidstestprogramma

    Ontwerp en implementeer een testprogramma dat jaarlijkse basistesten dekt en - voor significante entiteiten - TLPT elke drie jaar. Selecteer gekwalificeerde testaanbieders en definieer testscenario's die kritieke functies dekken. Documenteer resultaten en volg het herstel van geïdentificeerde kwetsbaarheden.

  6. 6

    Continue monitoring en verbetering

    Implementeer continue monitoring van ICT-risico's, controles en derdedienstverleners. Beoordeel en actualiseer uw ICT-risicobeheerframework regelmatig op basis van veranderingen in het dreigingslandschap, lessen uit incidenten en updates van toezichthouders. Bereid u voor op doorlopend toezicht en rapportageverplichtingen.

Veelgestelde vragen over DORA

Wat is de Digital Operational Resilience Act (DORA)?

DORA (EU-verordening 2022/2554) is een bindende EU-verordening die uniforme vereisten vaststelt voor de beveiliging van netwerk- en informatiesystemen in de financiële sector. Het omvat ICT-risicobeheer, incidentrapportage, digitale operationele weerbaarheidstesten, beheer van ICT-risico's van derden en informatiedeling. DORA is verplicht sinds 17 januari 2025.

Wie moet voldoen aan DORA?

DORA is van toepassing op circa 22.000 financiële entiteiten in de EU, waaronder banken, verzekeringsmaatschappijen, beleggingsondernemingen, betalingsinstellingen, aanbieders van cryptoactivadiensten en kritieke ICT-derdedienstverleners. Het omvat ook cloudserviceproviders, data-analysebedrijven en softwareleveranciers die deze financiële entiteiten bedienen.

Wat zijn de sancties bij niet-naleving van DORA?

Financiële entiteiten riskeren administratieve boetes tot EUR 10 miljoen of 5% van de totale jaaromzet, afhankelijk van welk bedrag hoger is. Voor natuurlijke personen kunnen boetes oplopen tot EUR 5 miljoen. Kritieke ICT-derdedienstverleners kunnen beboet worden tot EUR 5 miljoen, of EUR 500.000 voor natuurlijke personen. Daarnaast dragen bestuursleden persoonlijke aansprakelijkheid voor nalevingsfouten.

Wat is het verschil tussen DORA en NIS2?

Hoewel zowel DORA als NIS2 cybersecurity adresseren, is DORA specifiek voor de financiële sector en biedt het meer gedetailleerde vereisten voor ICT-risicobeheer, weerbaarheidstesten en risicobeheer van derden. NIS2 is breder en bestrijkt 18 sectoren. Voor financiële entiteiten heeft DORA voorrang als sectorspecifieke verordening (lex specialis).

Hoe lang duurt het om DORA-compliant te worden?

De tijdlijn verschilt afhankelijk van het volwassenheidsniveau van uw organisatie. Met een bestaand ISMS en complianceframework kan DORA-gereedheid in 3-6 maanden worden bereikt. Voor organisaties die vanaf nul beginnen, kunt u 6-12 maanden verwachten. Het automatiseringsplatform van Matproof kan deze tijdlijnen met 50-70% verkorten door geautomatiseerde controlekoppeling, bewijsverzameling en gap-analyse.

Wat zijn de 5 pijlers van DORA?

DORA is opgebouwd rond vijf pijlers: (1) ICT-risicobeheer - het opzetten van een alomvattend framework voor het identificeren en mitigeren van ICT-risico's; (2) ICT-gerelateerde incidentrapportage - gestandaardiseerde classificatie en rapportage aan toezichthouders; (3) Digitale operationele weerbaarheidstesten - inclusief threat-led penetration testing (TLPT); (4) Beheer van ICT-risico's van derden - toezicht op alle ICT-dienstverleners; en (5) Informatiedeling - vrijwillige uitwisseling van inlichtingen over cyberdreigingen tussen financiële entiteiten.

DORA Readiness Assessment

Check your digital operational resilience in 3 minutes

Take the free assessment

Belangrijkste functies

ICT-risicobeheer (Art. 5-16)

Geautomatiseerde risicoregisters met waarschijnlijkheids- en impactscores. Continue monitoring en mitigatietracking afgestemd op DORA-vereisten.

Incidentrapportage (Art. 17-23)

Registreer, classificeer en meld ICT-incidenten bij BaFin in het vereiste formaat. Genereer automatisch ernstbeoordelingen en tijdlijnrapporten.

Weerbaarheidstesten (Art. 24-27)

Volg TLPT- en weerbaarheidstestprogramma's. Beheer testplanningen, bevindingen en herstelplannen op één plek.

Risico van derden (Art. 28-44)

Onderhoud het Art. 28-register van alle ICT-aanbieders. AI-gestuurde leveranciersbeoordelingen, contractbeheer en exitstrategieën.

Informatie-uitwisseling (Art. 45)

Documenteer afspraken over het delen van dreigingsinformatie en voldoe aan de vereisten voor informatie-uitwisseling tussen financiële entiteiten.

BaFin-klare rapportage

Genereer regelgevende rapporten in exact het formaat dat BaFin verwacht. Eén klik, geen handmatige opmaak.

Waarom Matproof

Dekt alle 5 DORA-pijlers in één platform
BaFin-rapportageformaat ingebouwd
AI-gegenereerd DORA-beleid in het Duits en Engels
100% EU-gegevensresidentie (gehost in Duitsland)

DORA-compliance, compliance in heel Duitsland

Vind stadsspecifieke compliancegidsen voor uw financiële instelling.

Frankfurt
Deutsche Bank, Commerzbank
Munich
Allianz, Munich Re
Berlin
N26, Trade Republic
Hamburg
Berenberg, M.M.Warburg & CO
Düsseldorf
HSBC Germany, NRW.BANK
Stuttgart
Börse Stuttgart / BSDEX, LBBW
Cologne
AXA Germany, DEVK
Paris
BNP Paribas, Crédit Agricole
Amsterdam
ING Group, ABN AMRO
Madrid
Banco Santander, BBVA
Milan
UniCredit, Intesa Sanpaolo
Zurich
UBS, Swiss Re
Vienna
Erste Group, Raiffeisen Bank International
Luxembourg
European Investment Bank, Clearstream
Brussels
SWIFT, Euroclear
Dublin
Stripe, Fidelity Investments
Stockholm
Klarna, SEB
Helsinki
Nordea, OP Financial Group
Warsaw
PKO Bank Polski, mBank
Prague
CSOB, Komercni Banka
Alle steden & frameworks bekijken

DORA Readiness Assessment

Check your digital operational resilience in 3 minutes

Take the free assessment

Klantverhalen

Teams die niet meer opzien tegen het auditseizoen.

85%minder voorbereidingstijd

Matproof heeft ons maanden aan auditvoorbereiding bespaard. We koppelden onze tools op maandag en hadden vrijdag al DORA-gemapt bewijsmateriaal. Onze auditor was onder de indruk van de diepgang van de audit trail.

Ho

Head of Compliance

Series B Fintech, Germany

* Company names anonymized for privacy. All quotes from real compliance professionals using Matproof.

Klaar om te beginnen?

Klaar om te beginnen?

Ontdek hoe Matproof compliance automatiseert voor uw organisatie.

Demo aanvragen