Gids Naleving Financiële diensten

IT-risico en cyberbeveiliging in financiële dienstverlening: wat DORA vereist

DORA codificeert de IT-risico- en cyberbeveiligingsvereisten voor financiële diensten: bindende regels voor incidentrespons, IT-veerkrachttesten en risicobeheer door derden die sinds januari 2025 van toepassing zijn op banken, verzekeraars, betalingsbedrijven en investeringsmaatschappijen in de hele EU. De vijf pijlers structureren de regelgeving, maar ICT-risico's van derden zijn waar de meeste bedrijven de grootste leemten in de naleving hebben.

CT
Cyvra-team
Cyvra-advies
6 mei 2026
6 minuten lezen
Belangrijkste afhaalrestaurants
  • DORA werd van toepassing op 17 januari 2025 zonder overgangsperiode voor financiële bedrijven
  • Meer dan twintig categorieën financiële entiteiten moeten hieraan voldoen, waaronder banken, verzekeraars en aanbieders van crypto-activadiensten
  • DORA vereist contractuele auditrechten voor alle kritische externe ICT-leveranciers. Veel bestaande contracten bevatten deze clausules niet
  • Threat-Led Penetration Testing (TLPT) is elke drie jaar verplicht voor belangrijke entiteiten
  • Het ICT-risicoregister van derden is waar de meeste bedrijven nog steeds de grootste nalevingskloof hebben

Wie DORA eigenlijk dekt

De reikwijdte van DORA is breder dan de meeste bedrijven aanvankelijk aannemen. Banken en beleggingsondernemingen zijn de voor de hand liggende doelwitten, maar de regelgeving heeft betrekking op meer dan twintig verschillende categorieën financiële entiteiten. Betaalinstellingen, instellingen voor elektronisch geld, verzekerings- en herverzekeringsondernemingen, verzekeringstussenpersonen, aanbieders van crypto-activadiensten, kredietbeoordelaars en transactieregisters vallen allemaal binnen het toepassingsgebied. Dat geldt ook voor externe ICT-dienstverleners zelf, wanneer deze door de Europese toezichthoudende autoriteiten als cruciaal worden aangemerkt.

Als uw organisatie diensten levert aan financiële entiteiten, heeft u mogelijk DORA-verplichtingen, zelfs als u geen gereguleerde financiële onderneming bent. Cloudproviders, softwareleveranciers en data-analyseproviders die financiële bedrijven in de reikwijdte bedienen, zijn onderworpen aan toezicht onder het ICT-risicoraamwerk voor derden. De ESA's wijzen Critical Third Party Providers (CTPP's) aan, die vervolgens onder direct toezicht staan ​​van toezichthouders op EU-niveau.

Britse bedrijven die binnen de EU actief zijn of diensten verlenen aan financiële entiteiten in de EU, moeten controleren of hun EU-activiteiten of -regelingen deze binnen het bereik van DORA brengen. Het Britse raamwerk voor operationele veerkracht (de FCA- en PRA-regels die in maart 2022 van kracht werden) bestrijkt in eigen land soortgelijke terreinen, maar is een afzonderlijk regime.

januari 2025
DORA werd van toepassing in alle EU-lidstaten
20+
categorieën financiële entiteiten die onder de verordening vallen
3 jaar
tussen verplichte, op dreigingen gebaseerde penetratietests voor belangrijke entiteiten

De vijf pijlers: wat elke pijler vraagt

DORA organiseert zijn vereisten in vijf gebieden. Begrijpen wat elk ervan in de praktijk vraagt, is iets anders dan het lezen van de kopbeschrijving.

ICT-risicobeheer. Bedrijven moeten een raamwerk voor ICT-risicobeheer handhaven dat identificatie, bescherming, detectie, reactie en herstel omvat, dat wordt beoordeeld na grote incidenten, na wijzigingen in uw ICT-omgeving, en ten minste jaarlijks. Het raamwerk moet alle ICT-middelen bestrijken, worden goedgekeurd door het leidinggevend orgaan en worden getest.

Incidentbeheer en rapportage. Bedrijven moeten ICT-gerelateerde incidenten classificeren volgens de criteria van DORA (met betrekking tot de impact op de klant, de duur, de geografische spreiding en gegevensverlies) en grote incidenten melden aan de bevoegde autoriteiten. De eerste kennisgeving is vereist binnen vier uur na classificatie, met een gedetailleerd rapport binnen 72 uur. Het eindrapport wordt binnen een maand verwacht. Deze tijdlijnen staan ​​los van, en zijn soms strenger dan, de GDPR-vereisten voor melding van inbreuken.

Digitale operationele veerkracht testen. Alle entiteiten die binnen het toepassingsgebied vallen, moeten jaarlijks basistests uitvoeren, inclusief kwetsbaarheidsbeoordelingen en netwerkbeveiligingstests. Belangrijke entiteiten worden geconfronteerd met een aanvullende vereiste: elke drie jaar een Threat-Led Penetration Testing (TLPT). TLPT is een gestructureerde rode teamoefening die wordt uitgevoerd tegen live productiesystemen met behulp van echte dreigingsinformatie. Het is aanzienlijk veeleisender dan een standaard penetratietest.

ICT-risicobeheer van derden. Alle afspraken met externe ICT-dienstverleners moeten worden gedocumenteerd, met schriftelijke contracten die voldoen aan de contractuele vereisten van DORA. Bedrijven moeten een informatieregister bijhouden dat alle ICT-regelingen bestrijkt, en niet alleen de cruciale. Dit register moet op verzoek aan de bevoegde autoriteiten worden overgelegd.

Informatie delen. Bedrijven kunnen informatie over cyberdreigingen delen met andere financiële entiteiten. Dit is eerder tolerant dan verplicht, maar toezichthouders verwachten betrokkenheid bij informatie-uitwisselingsgemeenschappen die relevant zijn voor uw sector.

ICT-risico van derden: waar de meeste bedrijven tekortschieten

In pijler vier zitten de grootste leemten in de naleving. De meeste financiële bedrijven beschikken over een vorm van leveranciersrisicobeheer, dat doorgaans inkoopcontroles, contractuele aansprakelijkheidsclausules en periodieke, op vragenlijsten gebaseerde beoordelingen omvat. De eisen van DORA gaan verder op alle drie de dimensies.

De Register van informatie Deze eis zorgt ervoor dat de meeste bedrijven onvoorbereid zijn. DORA vereist een volledige inventaris van alle ICT-afspraken met derden, inclusief onderaannemers die door uw directe leveranciers worden gebruikt voor het leveren van diensten aan u. De meeste organisaties kunnen rekening houden met hun eerstelijnsleveranciers. Het volgen van de afhankelijkheid van niveau twee en drie is moeilijker, en DORA verwacht dit voor kritieke regelingen.

De contractuele eisen zijn specifiek. In DORA Artikel 30 wordt vastgelegd wat ICT-contracten moeten bevatten: beschrijving van diensten, datalocaties, meldingsplichten van incidenten door de aanbieder, deelnamerechten aan audits en penetratietesten, en bepalingen met betrekking tot de bedrijfscontinuïteit. Als uw bestaande contracten met cloudproviders en softwareleveranciers van vóór januari 2025 dateren, zullen over veel daarvan opnieuw moeten worden onderhandeld.

Belangrijk

DORA vereist dat ICT-contracten u het recht geven om de provider te auditeren, of om een ​​derde partij aan te stellen om dit te doen. Veel hyperscaler-cloudcontracten bieden gebundelde auditrechten in plaats van individuele toegang. Regelgevers bespreken actief hoe dit samenwerkt met de vereisten van DORA. Als uw huidige cloudcontracten niet voldoende auditrechten bevatten, zal uw leidinggevende hiernaar vragen.

Concentratierisico wordt direct aangepakt. DORA vereist dat bedrijven concentratierisico's identificeren en aanpakken die voortkomen uit de afhankelijkheid van één enkele ICT-provider of een klein aantal providers voor kritieke functies. Als uw betalingsverwerking, kernbankplatform en noodherstel allemaal bij dezelfde cloudprovider plaatsvinden, is dat een concentratierisico dat u moet hebben beoordeeld en gedocumenteerd.

Veerkrachttesten: wat TLPT eigenlijk inhoudt

Standaard jaarlijkse tests onder DORA omvatten kwetsbaarheidsbeoordelingen, op scenario's gebaseerde analyses en netwerkbeveiligingstests. Dit zijn vereisten voor tafelinzetten. TLPT is de veeleisendere verplichting die van toepassing is op belangrijke entiteiten, gedefinieerd als entiteiten met aanzienlijk systeemrelevant op basis van omvang, onderlinge verbondenheid of grensoverschrijdende activiteiten.

TLPT verschilt op drie punten van een standaard penetratietest. Ten eerste is het gebaseerd op echte dreigingsinformatie over de specifieke technieken en instrumenten die worden gebruikt tegen financiële bedrijven in uw regio en sector. Ten tweede test het live productiesystemen, geen testomgevingen. Ten derde vereist het voorafgaande coördinatie met uw bevoegde autoriteit voordat de test begint.

De tests moeten worden uitgevoerd door gecertificeerde aanbieders. In de EU worden de certificeringsvereisten voor leveranciers vastgesteld door TIBER-EU, het Europese raamwerk voor op dreigingsinformatie gebaseerde ethische red-teaming. Als uw organisatie al heeft deelgenomen aan TIBER-NL (Nederlandse implementatie) of TIBER-GB assessments, tellen deze oefeningen mee voor de TLPT-vereiste van DORA, onder voorbehoud van bevestiging door uw bevoegde autoriteit.

Drie dingen om nu prioriteit te geven

Als uw DORA-programma nog in uitvoering is, zullen deze drie gebieden bepalen hoe uw volgende toezichtgesprek zal verlopen.

1
Vul uw informatieregister in
De ESA's hebben specifieke templates gepubliceerd voor wat dit register moet bevatten. Bouw het volgens de sjabloon, niet volgens uw bestaande leverancierslijsten. Regelgevers zullen erom vragen en het formaat is van belang.
2
Controleer uw ICT-contracten op artikel 30
Identificeer in welke overeenkomsten verplichte clausules ontbreken en geef prioriteit aan heronderhandelingen voor kritieke diensten. Concentratierisicoanalyse moet deze oefening begeleiden.
3
Bepaal of u een significante entiteit bent
Als dat zo is, moet de TLPT-planning nu beginnen. De cyclus van drie jaar is al begonnen. Het missen van de eerste testcyclus is het soort hiaat dat de aandacht van de toezichthouders trekt.

De handhaving van DORA ligt in handen van de nationale bevoegde autoriteiten (DNB en AFM in Nederland, de FCA en PRA in het VK voor hun gelijkwaardige kaders). DNB heeft haar toezichtprioriteiten voor 2025 en 2026 gepubliceerd, waarbij de DORA-implementatie expliciet wordt vermeld. Bedrijven die een gestructureerd programma met gedocumenteerd bewijs kunnen aantonen, bevinden zich in een aanzienlijk sterkere positie dan bedrijven die de regelgeving in de eerste plaats als een papierwerk beschouwen.

Het DORA-reglement is gepubliceerd op EUR-Lex (Verordening 2022/2554). De Europese Bankautoriteit publiceert de technische reguleringsnormen, technische uitvoeringsnormen en richtlijnen met betrekking tot ICT-risicobeheer, classificatie van incidenten en toezicht door derden op eba.europa.eu.

Veelgestelde vragen

Wat is DORA en op wie is dit van toepassing?

DORA (de Digital Operational Resilience Act) is een EU-verordening die op 17 januari 2025 van toepassing is geworden. Deze is van toepassing op meer dan 20 categorieën financiële entiteiten, waaronder kredietinstellingen, betalingsinstellingen, beleggingsondernemingen, verzekeringsmaatschappijen, aanbieders van crypto-activadiensten en externe ICT-dienstverleners die hen bedienen. In tegenstelling tot sectorspecifieke richtlijnen creëert DORA een bindend, geharmoniseerd raamwerk voor de hele financiële sector in de EU.

Wat zijn de vijf pijlers van DORA-compliance?

DORA is gestructureerd rond vijf pijlers: ICT-risicobeheer, waarvoor een gedocumenteerd raamwerk vereist is dat identificatie, bescherming, detectie, respons en herstel omvat; Rapportage van ICT-incidenten, met gedefinieerde tijdlijnen voor grote incidenten aan bevoegde autoriteiten; het testen van de digitale operationele veerkracht, inclusief basistesten en geavanceerde penetratietests op basis van dreigingen; ICT-risicobeheer door derden, waarvoor governance, contracten en monitoring nodig zijn voor alle cruciale providers; en het delen van informatie, waarbij entiteiten worden aangemoedigd om informatie over cyberdreigingen te delen binnen vertrouwde gemeenschappen.

Wat heeft DORA nodig voor externe ICT-providers?

DORA Artikel 30 stelt verplichte contractuele eisen voor ICT-opdrachten van derden. Contracten moeten duidelijke beschrijvingen bevatten van diensten, datalocaties, beveiligingsnormen, auditrechten voor zowel de financiële entiteit als toezichthouders, en beëindigingsrechten. De verordening vereist ook een register van alle ICT-afspraken met derden en regelmatige risicobeoordelingen van kritische leveranciers. Veel bestaande leverancierscontracten dateren van vóór DORA en missen deze clausules, waardoor heronderhandelingen of addenda noodzakelijk zijn.

Wat is TLPT en hoe vaak is dit vereist onder DORA?

Threat-Led Penetration Testing (TLPT) is een geavanceerde testmethodologie die aanvallen uit de echte wereld simuleert met behulp van informatie over huidige bedreigingsactoren. Onder DORA moeten belangrijke financiële entiteiten ten minste elke drie jaar een TLPT uitvoeren. Tests moeten betrekking hebben op live productiesystemen en moeten worden uitgevoerd door gecertificeerde, onafhankelijke testers. TLPT is ontworpen om te beoordelen of een entiteit een gerichte, geavanceerde aanval kan detecteren en erop kan reageren; het gaat veel verder dan standaard penetratietesten.

Hoe werkt DORA samen met GDPR en NIS2?

DORA valt samen met andere EU-regelgeving. Voor ICT-incidenten waarbij ook sprake is van een inbreuk op persoonsgegevens, zijn zowel de DORA- als de GDPR-rapportageverplichtingen gelijktijdig van toepassing: DORA-incidentrapporten gaan naar financiële toezichthouders, terwijl GDPR-inbreukmeldingen naar gegevensbeschermingsautoriteiten gaan. NIS2 is ook van toepassing op financiële entiteiten die voldoen aan de NIS2-scopecriteria. Een goed ontworpen programma voor operationele veerkracht kan voldoen aan de verplichtingen binnen alle drie de raamwerken, met een gedeelde wetenschappelijke basis.

Praat met Cyvra

Hulp nodig bij het dichten van de hiaten in uw DORA?

We werken samen met financiële bedrijven in Nederland en Groot-Brittannië om DORA-compatibele programma's op te bouwen en te bewijzen, van gap assessment tot registratie-voltooiing en TLPT-gereedheid.

Neem contact op Financiële diensten

Vrijwaring: Dit artikel is uitsluitend bedoeld voor algemene informatiedoeleinden en vormt geen juridisch, regelgevend of professioneel advies. Cyvra geeft geen garantie met betrekking tot de juistheid of volledigheid van deze inhoud, die mogelijk niet de meest recente ontwikkelingen op regelgevingsgebied weerspiegelt. Lezers moeten onafhankelijk juridisch en regelgevend advies inwinnen dat geschikt is voor hun specifieke omstandigheden. Cyvra aanvaardt geen aansprakelijkheid voor enig verlies dat voortvloeit uit het vertrouwen op deze inhoud.