Wat is DORA?
DORA (Verordening (EU) 2022/2554) is een Europese verordening die is vastgesteld door de Europese Commissie die uniforme eisen stelt aan de digitale operationele weerbaarheid van financiële entiteiten. Anders dan een richtlijn is DORA direct van toepassing in alle EU-lidstaten zonder nationale implementatiewetgeving.
De verordening is van toepassing op meer dan 22.000 financiële entiteiten en ICT-dienstverleners in de EU, waaronder banken, verzekeraars, beleggingsondernemingen, betalingsinstellingen en crypto-asset dienstverleners.
De vijf pijlers van DORA
| Pijler | Beschrijving |
|---|---|
| ICT-risicobeheer | Implementatie van een robuust ICT-risicobeheerframework met governance, identificatie, bescherming, detectie en respons |
| ICT-incidentmelding | Classificatie en melding van significante ICT-incidenten aan de toezichthouder |
| Digital Operational Resilience Testing | Regelmatige testing waaronder Threat-Led Penetration Testing (TLPT) voor grote entiteiten |
| Third-party risk management | Beheer van risico's gerelateerd aan ICT-dienstverleners, inclusief contractuele eisen |
| Informatie-uitwisseling | Vrijwillige uitwisseling van dreigingsinformatie tussen financiële entiteiten |
Impact op IT Compliance teams
DORA heeft een directe impact op IT Compliance en Risk Management teams binnen financiële instellingen:
- Governance: Het management moet ICT-risico's actief beheren en is eindverantwoordelijk
- Documentatie: Uitgebreide documentatie-eisen voor ICT-risicobeheerprocessen
- Vendor management: Strenge eisen aan het beheer van ICT-dienstverleners
- Testing: Jaarlijkse testing van kritieke systemen en driejaarlijkse TLPT
- Reporting: Gestandaardiseerde incidentmelding binnen strikte tijdslijnen
Carrièrekansen door DORA
De implementatie van DORA creëert aanzienlijke vraag naar specialisten:
- DORA Compliance Officers: €80.000 - €120.000 (bekijk ook IT audit vacatures met DORA-focus)
- ICT Risk Managers (financiële sector): €85.000 - €130.000
- Third-party Risk Specialists: €65.000 - €95.000
- Operational Resilience Consultants: €90.000 - €140.000
DORA compliance checklist: praktische stappen
Nu DORA sinds januari 2025 van toepassing is, moeten financiele entiteiten aantoonbaar compliant zijn. De volgende checklist helpt bij het structureren van je DORA-programma:
- ICT-risicobeheerframework opstellen: Documenteer een compleet framework voor de identificatie, bescherming, detectie, respons en herstel van ICT-risico's. Dit framework moet door het bestuur worden goedgekeurd en minimaal jaarlijks worden herzien
- Incidentclassificatie en meldprocedures inrichten: Definieer criteria voor het classificeren van ICT-incidenten en stel meldprocedures op die voldoen aan de strikte tijdslijnen: een initieel rapport binnen 4 uur na classificatie als ernstig, een tussenrapport binnen 72 uur en een eindrapport binnen een maand
- Testprogramma opzetten: Plan jaarlijkse testing van kritieke ICT-systemen en driejaarlijkse Threat-Led Penetration Testing (TLPT) als je organisatie als significant wordt aangemerkt. TLPT moet worden uitgevoerd door gecertificeerde externe testers
- Register van ICT-dienstverleners bijhouden: Breng alle ICT-derde partijen in kaart, beoordeel het concentratierisico en zorg dat contracten voldoen aan de DORA-eisen voor exitstrategieen en auditrechten
- Informatie-uitwisselingsarrangementen overwegen: Sluit aan bij sector-initiatieven voor het delen van dreigingsinformatie met andere financiele entiteiten
Op welke organisaties is DORA van toepassing?
DORA heeft een breder toepassingsgebied dan veel organisaties in eerste instantie verwachten. De verordening geldt voor meer dan 22.000 entiteiten in de EU, verdeeld over 21 categorieen. Naast de voor de hand liggende partijen als banken, verzekeraars en beleggingsondernemingen vallen ook minder voor de hand liggende organisaties onder DORA. Denk aan betalingsinstellingen, elektronischgeldinstellingen, cryptoasset-dienstverleners, crowdfundingplatforms en zelfs securitisatieregisterhouders.
Bijzonder is dat DORA ook geldt voor kritieke ICT-dienstverleners die diensten leveren aan financiele entiteiten. Cloud providers, datacenter-operators en aanbieders van core banking software kunnen worden aangewezen als kritieke derde partij en vallen dan onder direct Europees toezicht. Dit heeft gevolgen voor cloud security specialisten die in de financiele sector werken. Voor kleinere entiteiten geldt het proportionaliteitsbeginsel: micro-ondernemingen en bepaalde kleine financiele entiteiten mogen een vereenvoudigd ICT-risicobeheerframework hanteren. Dit betekent minder uitgebreide documentatie en testverplichtingen, maar de kernverplichtingen blijven gelden.
Sancties en handhaving: wat zijn de risico's?
Anders dan bij de AVG bevat DORA zelf geen specifieke boetebedragen. De handhaving en sancties worden bepaald door nationale toezichthouders, in Nederland DNB en de AFM. Deze toezichthouders beschikken over ruime bevoegdheden: ze kunnen corrigerende maatregelen opleggen, bestuurlijke boetes uitdelen en in ernstige gevallen zelfs vergunningen intrekken.
In de praktijk ligt het grootste risico niet bij de boetes zelf, maar bij de reputatieschade en de gevolgen van een publieke waarschuwing of formele maatregel door de toezichthouder. Voor beursgenoteerde financiele instellingen kan dit direct impact hebben op de koers. Daarnaast kan non-compliance leiden tot verhoogd toezicht, wat operationeel belastend is door extra rapportageverplichtingen en frequentere inspecties. De combinatie van NIS2 en DORA maakt het voor organisaties in de financiele sector extra belangrijk om hun compliance op orde te hebben. Een goede eerste stap is het aanstellen van een DORA-verantwoordelijke op managementniveau die het overzicht houdt over alle vijf de pijlers en rapporteert aan het bestuur.
Op zoek naar een baan in IT Compliance?
Bekijk onze vacatures en vind de perfecte match voor jouw carrière.
Bekijk vacatures