DORA Pentest Nederland: Verplichtingen voor Penetratietesten op grond van Art. 24 en 26
Vanaf 17 januari 2025 is de Digital Operational Resilience Act (DORA, Verordening (EU) 2022/2554) rechtstreeks van toepassing in alle lidstaten van de Europese Unie. Artikel 24 verplicht financiële instellingen tot het regelmatig uitvoeren van penetratietesten op hun ICT-systemen; artikel 26 legt systeemrelevante instellingen aanvullende Threat-Led Penetration Tests (TLPT) op. In Nederland oefenen De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) een centrale toezichtsrol uit bij de handhaving van deze verplichtingen. Deze gids legt uit welke instellingen binnen het toepassingsgebied vallen, wat de verordening concreet vereist en welke aanpak aan de regelgevende eisen voldoet.
Waarom DORA penetratietesten een wettelijke verplichting maakt
DORA is geen best-practice richtlijn, maar een rechtstreeks werkende Europese verordening. Anders dan de vroegere EBA-richtsnoeren inzake ICT-risico's (EBA/GL/2019/04) heeft DORA bindende rechtskracht: DNB en AFM kunnen geldboetes opleggen tot 1% van de wereldwijde dagomzet en kunnen bestuurders persoonlijk aansprakelijk stellen. Artikel 24, lid 1 van DORA vereist dat financiële instellingen hun ICT-systemen, applicaties en infrastructuur onderwerpen aan een regelmatig 'programma voor het testen van de digitale operationele veerkracht'. Artikel 24, lid 2 noemt expliciet 'penetratietesten, waaronder op dreigingsinformatie gebaseerde penetratietesten'. DNB heeft in zijn circulaires van begin 2025 verduidelijkt dat een eenvoudige kwetsbaarhedenscan niet aan dit vereiste voldoet: een volledige penetratietest met gedocumenteerde reikwijdte, methodiek en exploitatiebewijs is vereist. Voor significante en systeemrelevante instellingen (art. 26 DORA) geldt het TLPT-kader (Threat-Led Penetration Testing, referentie TIBER-EU / TIBER-NL) als aanvullende vereiste, en alleen door DNB erkende aanbieders mogen dergelijke tests uitvoeren.
- DORA Art. 24 §1 en §2: verplichting tot regelmatige ICT-beveiligingstesten, inclusief penetratietesten, voor alle financiële entiteiten als bedoeld in Art. 2 DORA — kredietinstellingen, beleggingsondernemingen, verzekeraars, betalingsinstellingen, aanbieders van cryptoactivadiensten (MiCA), ratingbureaus, centrale effectenbewaarinstellingen.
- DORA Art. 26 §1: TLPT-verplichting voor systeemrelevante instellingen — ten minste elke drie jaar een volledige op dreigingsinformatie gebaseerde penetratietest, uitgevoerd door een erkende aanbieder, gecoördineerd met de bevoegde autoriteit (DNB / AFM).
- DORA Art. 24 §7 en §8: testen moeten worden uitgevoerd door onafhankelijke partijen (intern of extern); voor kritieke ICT-diensten door externe testers; volledige documentatie inclusief reikwijdte, methodiek en gevonden kwetsbaarheden.
- RTS DORA (Gedelegeerde Verordening (EU) 2024/1774): de technische reguleringsnormen specificeren de minimale vereisten voor ICT-beveiligingstesten — minimale dekking, frequentie, rapportageverplichtingen.
- TIBER-NL (DNB-kader): de Nederlandse implementatie van het TIBER-EU-referentiekader, dat accrediteringscriteria voor Red Team-aanbieders op de Nederlandse markt vastlegt en coördinatieprocedures met DNB definieert; Nederland is een van de vroegste adoptors van TIBER-EU in Europa, met ervaringen daterend van 2019.
- Persoonlijke aansprakelijkheid van bestuurders (Art. 5 DORA): de raad van bestuur en de directie zijn rechtstreeks verantwoordelijk voor de digitale operationele veerkracht — het ontbreken van bewijsstukken van penetratietesten vormt een direct governancerisico.
- Grensoverschrijdende coördinatie (Art. 26 §8 DORA): voor instellingen die in meerdere lidstaten actief zijn, coördineert de ECB gemeenschappelijke TLPT-testen — het TIBER-EU-kader definieert het van toepassing zijnde referentiekader.
Wat moet een DORA-conform penetratietest omvatten
- ICT-systemen van essentiële functies (Art. 24 §3 DORA): kern-banksystemen, betaal-API's, handelsplatformen, klantengegevensopslagplaatsen — een volledig inventaris van activa als voorwaarde.
- Authenticatie en toegangsbeheer: MFA-implementaties (PSD2 SCA-vereisten), OAuth2/OIDC-stromen, beheer van bevoorrechte toegang (PAM), machtigingen van serviceaccounts.
- API-beveiliging conform OWASP API Top 10 (2023): API1 Broken Object Level Authorization, API2 Broken Authentication, API3 Broken Property Level Authorization — in het bijzonder kritiek voor Open Banking-API's (PSD2, Berlin Group NextGenPSD2).
- Netwerksegmentatie en firewallconfiguratie: scheiding van ICT-omgevingen (productie / test / ontwikkeling), laterale verplaatsing tussen segmenten, isolatie van het SWIFT-netwerk (SWIFT CSP CSCF v2024).
- Versleuteling van gegevens in rust en in transit: TLS 1.3 (RFC 8446), HSM-integratie voor cryptografisch materiaal, verouderde cipher suites (CVE-2016-2107 POODLE, CVE-2023-0215 OpenSSL), CVE-2022-0778 (oneindige lus OpenSSL).
- ICT-afhankelijkheden van derden (Art. 28 DORA): SaaS-componenten, cloudinfrastructuurleveranciers, betalingsverwerkers — supply chain-risico's, bekende CVE's in bibliotheken van derden.
- Bedrijfscontinuïteit en herstel na incidenten: testen van de mogelijkheid van een aanvaller om back-upprocessen te compromitteren; ransomware-simulatie op back-upsystemen; verificatie van hersteltijden.
- Social engineering- en phishingsimulaties (voor meer uitgebreide TLPT-opdrachten): personeelsbewustzijn, technische detectiecontroles voor phishing, responstijden van het incident response-team.
- Cloudinfrastructuur (risico's van derden Art. 28 DORA): IAM-misconfiguaties in AWS/Azure/GCP, S3 Bucket-machtigingen, blootgestelde opslagaccounts, onveilige serverloze functies.
- Logging en monitoring (Art. 10 DORA): verificatie dat aanvalsactiviteiten worden gedetecteerd door SIEM/SOAR — het principe 'detecteer wat wij doen' als DORA-bewijs.
Voorbeeldbevinding
Onveilige OAuth2-stroom op Open Banking API-gateway (FAPI-overtreding)
De Open Banking API-gateway implementeert de OAuth2 Authorization Code-stroom zonder PKCE (Proof Key for Code Exchange, RFC 7636). Een aanvaller in een man-in-the-middle-positie kan de autorisatiecode onderscheppen via de redirect-URL van de browser en deze inwisselen voor een toegangstoken zonder de code_verifier te bezitten. Bovendien valideert de gateway de 'state'-parameter niet, waardoor een Cross-Site Request Forgery-aanval mogelijk is tijdens OAuth-initialisatie. De gateway verwerkt meer dan 50.000 PSD2-transacties per dag; een gecompromitteerd token geeft volledige leestoegang tot rekeninggegevens en geinitieerde betalingen. CVE-2022-21449 (ECDSA 'Psychic Signatures' in Java) toont aan hoe onvolledige cryptografische validatie in financiële API-contexten tot catastrofale autorisatie-omzeiling kan leiden.
Oplossing: Implementeer PKCE (RFC 7636) als verplichte vereiste voor alle OAuth2-stromen (inclusief server-side, als verdediging in de diepte). Valideer de 'state'-parameter bij elk autorisatieverzoek. Migreer naar het Financial-grade API-beveiligingsprofiel (FAPI 2.0, OpenID Foundation) als best practice voor Open Banking. Roteer tokens na elk gebruik, handhaaf korte geldigheid van toegangstokens (maximaal 5 minuten), vernieuwingstokens alleen met rotatie. Documenteer het penetratietestprotocol conform DORA Art. 24 §7.
Referentie: CVE-2022-21449 (ECDSA Psychic Signatures, Java) · OWASP API2:2023 Broken Authentication · RFC 7636 PKCE · DORA Art. 24 §2 · PSD2 RTS inzake SCA (EU) 2018/389 Art. 9
DORA pentest: vergelijking van opties
| — | Gratis scan | Matproof Sentinel | Traditionele consultancy |
|---|---|---|---|
| Geautomatiseerde scan-engine | ✓ (3-min preview) | ✓ Volledige scan | ✗ Alleen handmatig |
| OWASP Top 10 dekking | Gedeeltelijk | ✓ Volledig | ✓ Volledig |
| Proof-of-exploit bewijs | ✗ | ✓ Per bevinding | ✓ Per bevinding |
| Regulatorische mapping (DORA/NIS2/ISO 27001) | ✗ | ✓ Geautomatiseerd | ✓ Handmatig |
| Audit-geschikt PDF-rapport | ✗ | ✓ Direct | ✓ 2–4 weken levertijd |
| Continue / terugkerende scans | ✗ | ✓ Per deploy | ✗ Jaarlijkse opdracht |
| Tijd tot eerste resultaat | ~3 min | ~30 min volledige scan | 2–4 weken |
| Prijs | €0 | Vanaf €149 | €8.000–€25.000 |
| Broncode-review (SAST) | ✗ | ✓ Growth-plan | ✓ In scope |
| API-tests (REST/GraphQL) | ✗ | ✓ Geautomatiseerd | ✓ Handmatig |
DORA-conforme pentestaanbiedingen
- 1 volledige penetratietest-scan
- AI-geprioriteerde bevindingen met CVSS 3.1
- Proof-of-exploit per bevinding
- PDF-rapport (geschikt voor audit)
- Regulatorische mapping (DORA, NIS2, ISO 27001)
- Onbeperkt scannen (tot 3 domeinen)
- Continue monitoring
- CI/CD-integratie (GitHub, GitLab)
- Alle regulatorische mappings
- Prioriteitsondersteuning
- Onbeperkt scannen + domeinen
- Geauthenticeerde / White-Box tests
- API- en cloud-infrastructuurtests
- Dedicated security account manager
- SLA responstijd 24u
Veelgestelde vragen over DORA penetratietesten in Nederland
Welke instellingen zijn in Nederland onderworpen aan de DORA Art. 24 penetratietestplicht?
Art. 2 DORA definieert het toepassingsgebied: kredietinstellingen, betalingsinstellingen, elektronischgeldinstellingen, beleggingsondernemingen, verzekeringsondernemingen, ratingbureaus, transactieregisters, handelsplatformen, aanbieders van cryptoactivadiensten (MiCA), rapportagediensten en kritieke ICT-derde-aanbieders. In Nederland houdt DNB toezicht op kredietinstellingen en betalingsinstellingen; AFM op beleggingsondernemingen. Kleine ondernemingen (Art. 3 DORA) vallen onder vereenvoudigde vereisten, maar het beginsel van regelmatige technische testen geldt ook voor hen.
Wat is het verschil tussen de DORA Art. 24 pentest en het Art. 26 TLPT?
Art. 24 schrijft algemene penetratietesten voor voor alle betrokken financiële entiteiten — frequentie, reikwijdte en diepte zijn risicogebaseerd, maar er moet een gedocumenteerd penetratietestraport bestaan. Art. 26 TLPT is een aanvullende vereiste uitsluitend voor 'significante' instellingen (systeemrelevante banken, grote verzekeraars): ten minste elke drie jaar een volledige Red Team-test waarbij een erkende aanbieder zijn methodiek baseert op een echte dreigingsanalyse en zonder voorafgaande kennisgeving aanvalt. Een TLPT kost doorgaans tussen de 80.000 en 250.000 euro; een standaard DORA-pentest is uitvoerbaar met een AI-pentestplatform zoals Matproof Sentinel of een gespecialiseerde aanbieder (8.000 tot 25.000 euro).
Hoe vaak moet een DORA pentest worden uitgevoerd?
DORA schrijft geen vaste frequentie voor — Art. 24 §1 spreekt van 'regelmatig'. De interpretatie van DNB en de EBA-richtsnoeren voorzien doorgaans in ten minste jaarlijkse testen voor kritieke systemen en na substantiële wijzigingen. Art. 26 TLPT legt expliciet ten minste elke drie jaar op voor de betrokken instellingen. Aanbeveling: jaarlijkse volledige pentest plus continue scanning (via Matproof Sentinel) na elke grote release.
Wat moet een DORA pentestrapport bevatten?
Art. 24 §7 DORA vereist: documentatie van de reikwijdte (welke systemen zijn getest), gebruikte methodiek, geïdentificeerde kwetsbaarheden met ernstgradering, herstelaanbevelingen en -status (hersteld / in behandeling / geaccepteerd). DNB beveelt daarnaast aan: kwalificatie van de tester (OSCP/CREST of gelijkwaardig), gebruikte methodieksreferentie (PTES, OWASP Testing Guide), exploitatiebewijs voor kritieke en hoge bevindingen. Matproof Sentinel genereert al deze elementen automatisch in het PDF-rapport.
Kan Matproof Sentinel de DORA Art. 26 TLPT vervangen?
Nee — de DORA Art. 26 TLPT vereist voor systeemrelevante instellingen een door DNB / ECB erkende Red Team-aanbieder. Matproof Sentinel is een AI-ondersteund pentestplatform dat uitstekend geschikt is voor standaard DORA Art. 24-testen, TLPT-voorbereiding (gapanalyse, kwetsbaarheidsbasislijn) en continue beveiligingstesten tussen TLPT-cycli. Voor de TLPT verwijzen wij u graag door naar erkende partners.
Welke sancties riskeert een financiële instelling die geen DORA pentest kan aantonen?
DNB, AFM en de ECB kunnen boetes opleggen tot 1% van de wereldwijde dagomzet bij niet-naleving van de DORA-vereisten (Art. 50 DORA). Bij herhaalde of ernstige overtredingen is ook schorsing van de activiteiten mogelijk. Daarnaast zijn bestuurders persoonlijk aansprakelijk (Art. 5 DORA). In de praktijk wordt het ontbreken van bewijsstukken van penetratietesten bij prudentiële inspecties aangemerkt als significante niet-naleving, met verplichte compliancemaatregelen en verantwoording tot gevolg.
Moeten ICT-derde-aanbieders (cloud, SaaS) ook een DORA pentest uitvoeren?
Rechtstreeks: ja, indien zij zijn aangewezen als 'kritieke ICT-derde-aanbieders' op grond van Art. 31 DORA (aanwijzing door EBA/ESMA/EIOPA). In dat geval vallen zij rechtstreeks onder het DORA-toezicht. Indirect: alle andere ICT-derde-aanbieders moeten via contractuele clausules (Art. 30 DORA) aan minimale beveiligingseisen voldoen die penetratietesten kunnen omvatten. De financiële instelling moet op grond van Art. 28 DORA waarborgen dat haar kritieke derde-aanbieders adequate beveiligingstesten uitvoeren.
Hoe verhouden DORA en de Cybersecuritywet (NIS2) zich tot elkaar voor Nederlandse financiële instellingen?
DORA is een sectorspecifieke bijzondere regeling voor financiële instellingen en prevaleert boven NIS2 als lex specialis. In Nederland is NIS2 geïmplementeerd via de Cybersecuritywet (Cbw), die in oktober 2024 in werking is getreden en in het algemeen van toepassing is op essentiële en belangrijke entiteiten in kritieke sectoren, maar Art. 4 van de NIS2-richtlijn preciseert dat sectorspecifiek Europees recht (zoals DORA) prevaleert. Ondernemingen die aan zowel DORA als de Cbw zijn onderworpen, hoeven alleen aan DORA te voldoen — de toezichthouder beschouwt DORA-naleving als volledige dekking van de Cbw-vereisten.
Meer lezen — gerelateerde blogartikelen
Start uw DORA-conforme pentest
Verkrijg in 3 minuten een eerste beoordeling van uw ICT-beveiligingspositie — zonder registratie, zonder verplichtingen. De volledige Matproof Sentinel pentest levert een audit-ready rapport dat voldoet aan de vereisten van Art. 24 §7 DORA. Voor de TLPT Art. 26 brengen wij u in contact met door DNB erkende partners.
Start de DORA pentest