DORA Uitgelegd: Wat is DORA en waarom is het ingevoerd?
De Digital Operational Resilience Act (DORA), officieel Verordening (EU) 2022/2554, is per 17 januari 2025 volledig van toepassing op financiële entiteiten in de Europese Unie. DORA is de reactie van de Europese wetgever op de groeiende afhankelijkheid van de financiële sector van digitale systemen en op de frequentie en ernst van cyberincidenten die die sector treffen.
De aanleiding was tweeledig. Ten eerste waren de cybersecurityvereisten voor financiële instellingen sterk gefragmenteerd: elke lidstaat hanteerde eigen regels, en de bredere NIS-richtlijn was niet specifiek genoeg voor de financiële sector. Ten tweede leidde de COVID-19 pandemie tot een versnelde digitalisering en daarmee tot een uitvergroting van ICT-afhankelijkheden en -risico's.
Als EU-verordening (niet een richtlijn) is DORA rechtstreeks van toepassing in alle EU-lidstaten zonder nationale implementatiewetgeving. Er is geen omzettingsperiode — de compliance-deadline was 17 januari 2025.
Voor wie geldt DORA?
DORA heeft een breed toepassingsgebied binnen de financiële sector. De entiteiten waarop DORA van toepassing is, zijn onder meer:
- Kredietinstellingen (banken) en bijkantoren van derde-landenbanken
- Betaalinstellingen en elektronisch-geldinstellingen
- Beleggingsondernemingen en UCITS-beheerders
- Beheerders van alternatieve beleggingsfondsen (AIFM)
- Verzekeraars en herverzekeraars
- Pensioenfondsen
- Kredietbeoordelingsbureaus
- Aanbieders van cryptoactivadiensten (CASP) onder MiCA
- Kritieke ICT-derde dienstverleners (CTPP) — waaronder cloud providers en data-analyticsbedrijven die diensten leveren aan financiële instellingen
Voor micro-ondernemingen (minder dan 10 medewerkers en een jaaromzet of balanstotaal van minder dan €2 miljoen) gelden vereenvoudigde regels op bepaalde onderdelen.
De vijf pijlers van DORA in detail
Pijler 1 — ICT-risicobeheer: DORA verplicht een uitgebreid ICT-risicobeheerframework dat voortdurend wordt onderhouden en verbeterd. Dit omvat: identificatie van alle ICT-activa en afhankelijkheden, beschermingsmaatregelen voor continuïteit, detectiecapaciteiten voor anomalieën en incidenten, respons- en herstelplannen, en post-incident reviews. Het framework moet worden goedgekeurd door het bestuursorgaan, dat ook verantwoordelijk is voor toezicht op de uitvoering.
Pijler 2 — ICT-incidentbeheer en -rapportage: DORA introduceert strikte meldtermijnen voor significante ICT-gerelateerde incidenten. De definitie van "significant" is vastgelegd in Regulatory Technical Standards (RTS) opgesteld door de European Supervisory Authorities (ESA's). Na classificatie als groot incident geldt: eerste kennisgeving aan de toezichthouder binnen 4 uur, nadere melding binnen 72 uur, en een definitieve rapportage binnen één maand. Grote cyberrisico's die nog geen incident zijn geworden, moeten ook vrijwillig worden gemeld.
Pijler 3 — Digitale operationele weerbaarheidstesten (TLPT): Financiële entiteiten moeten hun digitale weerbaarheid periodiek testen. Dit loopt uiteen van basiscontroles (netwerken, systemen, applicaties) tot geavanceerde Threat-Led Penetration Tests (TLPT) voor de grootste en meest systeemkritieke instellingen. TLPT moet eens per drie jaar worden uitgevoerd door een erkende externe tester. De methodologie is gebaseerd op TIBER-EU, het Europese raamwerk voor intelligence-gestuurde penetratietesten.
Pijler 4 — ICT-derde-partijrisico: Een van de meest praktisch uitdagende pijlers. DORA verplicht financiële instellingen een register bij te houden van alle contractuele overeenkomsten met ICT-leveranciers. Voor kritieke leveranciers gelden aanvullende contractuele eisen: exit-strategieën, auditrechten, waarborgen bij uitbesteding, SLA-vereisten en bepalingen over sub-outsourcing. De Europese Centrale Bank (ECB) en nationale toezichthouders kunnen kritieke ICT-derde-partijdienstverleners (CTPP) aanwijzen, die vervolgens direct onder DORA-toezicht komen te staan.
Pijler 5 — Informatie-uitwisseling: DORA bevordert vrijwillige informatie-uitwisseling over cyberdreigingen en kwetsbaarheden binnen de financiële sector. Financiële entiteiten worden aangemoedigd deel te nemen aan vertrouwde informatiesharinggemeenschappen. Dit is deels een reactie op de observatie dat individuele bedrijven te terughoudend zijn in het delen van dreigingsintelligentie die voor de sector als geheel waardevol zou zijn.
Toezicht en handhaving
Het toezicht op DORA valt primair bij de nationale financiële toezichthouders, in Nederland de De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM). Op Europees niveau houden de European Banking Authority (EBA), de European Securities and Markets Authority (ESMA) en de European Insurance and Occupational Pensions Authority (EIOPA) toezicht op hun respectieve sectoren.
Sancties voor niet-naleving kunnen bij essentiële overtredingen oplopen tot 1% van de gemiddelde dagelijkse wereldwijde omzet van het voorgaande jaar, per dag van overtreding. Voor kritieke ICT-derde-partijdienstverleners zijn de maximumboetes zelfs €5 miljoen of 10% van de wereldwijde jaaromzet.
DORA en ISO 27001: complementaire kaders
ISO 27001 biedt een solide basis voor DORA-compliance maar dekt niet alle vereisten af. De risicogebaseerde aanpak, het incidentbeheerproces en de governance-vereisten van ISO 27001 sluiten goed aan bij DORA. Op drie gebieden gaat DORA echter verder: de meldtermijnen zijn strikter (24/72 uur versus de meer flexibele ISO 27001-aanpak), TLPT is een formele wettelijke verplichting die verder gaat dan de penetratietests in ISO 27001, en de leveranciersbeheervereisten zijn gedetailleerder en juridisch bindender dan de supply chain security controls in ISO 27001.
De meest efficiënte route naar DORA-compliance voor organisaties die al ISO 27001 gecertificeerd zijn, is een gerichte gap-analyse op de DORA-specifieke vereisten, gevolgd door aanvulling van bestaande processen en documentatie op de identificeerde lacunes.
Praktische prioriteiten voor DORA-implementatie
Gezien de complexiteit van DORA raden wij aan te beginnen met vier prioritaire acties: Ten eerste, ICT-activa en leveranciersregister — breng alle ICT-systemen en leverancierscontracten in kaart en beoordeel welke leveranciers als kritiek moeten worden aangemerkt. Ten tweede, incidentclassificatiecriteria — implementeer criteria en procedures om ICT-incidenten te classificeren en meldtermijnen te bewaken. Ten derde, bestuurdersverantwoordelijkheid — zorg dat het bestuur de ICT-risicostrategie formeel vaststelt en haar toezichtrol adequaat invult. Ten vierde, TLPT-planning — start tijdig met het selecteren van een erkende TLPT-aanbieder en plan de driejaarlijkse test in.