DORA: Digitale weerbaarheid voor de financiële sector

DORA (Digital Operational Resilience Act) is een Europese verordening die sinds januari 2025 van toepassing is op de financiële sector. DORA stelt uniforme eisen aan de digitale operationele weerbaarheid van financiële entiteiten en aan hun belangrijke ICT-leveranciers. Het doel: voorkomen dat een ICT-incident bij één partij het hele financiële systeem in gevaar brengt. 

Anders dan NIS2 (een richtlijn die per lidstaat wordt geïmplementeerd) is DORA een verordening die rechtstreeks geldt, in alle lidstaten, met dezelfde tekst. 

Plan een kennismaking
Man in blauwe jas en witte overhemd, lachend en met bril, kijkt naar boven.

Voor wie is DORA relevant?

In de praktijk: als je financiële instellingen als klant hebt en je dienstverlening is ICT-gerelateerd, krijg je waarschijnlijk te maken met DORA, of je nu rechtstreeks onder de verordening valt of niet. 

  • Banken, verzekeraars, pensioenfondsen, beleggingsondernemingen, betaaldienstverleners. 

  • Crypto-aanbieders, crowdfundingplatforms, securitisatie-organisaties. 

  • Centrale tegenpartijen, transactieregisters, handelsplatforms. 

  • ICT-dienstverleners die kritieke diensten leveren aan deze organisaties, zoals cloudleveranciers, datacenters, SaaS-aanbieders en consultants. Voor 'critical ICT third-party providers' geldt direct toezicht door Europese toezichthouders. 

Wat vraagt DORA van je organisatie?

DORA bouwt op vijf pijlers:

  • Een geïntegreerd raamwerk dat ICT-risico's identificeert, beheerst en monitort. Met heldere governance en bestuurlijke verantwoordelijkheid.

  • Classificatie en melding van ICT-gerelateerde incidenten aan toezichthouders binnen strikte termijnen. 

  • Periodieke tests, waaronder threat-led penetration testing (TLPT) voor de grotere partijen. 

  • Strenge eisen aan contracten met ICT-dienstverleners, plus een verplicht register van leveranciers. De keten wordt onderdeel van het toezicht. 

  • Vrijwillige samenwerking en delen van dreigingsinformatie tussen financiële entiteiten. 

Voor ICT-leveranciers van financiële instellingen betekent DORA concreet: contracten moeten worden herzien op DORA-eisen, en je moet aantonen dat je intern de juiste maatregelen hebt om de eisen waar te maken. 

Hoe helpt Rethink bij DORA?

We helpen ICT-dienstverleners en SaaS-leveranciers met DORA-readiness: in kaart brengen welke eisen via klantcontracten op je afkomen, je managementsysteem aansluiten op de DORA-eisen, en assurance-rapportages (zoals ISAE 3402 of SOC 2) inrichten waarmee je klanten kunt bedienen. Voor de financiële entiteiten zelf werken we vaak samen met juristen: wij doen het managementsysteem en de operationele inrichting, zij de juridische interpretatie. 

Meer over Advies & Begeleiding
Meer over CISO as a Service 
Let op: Rethink Security geeft geen juridisch advies. Voor specifieke juridische vraagstukken rond DORA werken we samen met gespecialiseerde juristen.
Twee mannen hebben een gesprek op een kantoor. Ze zitten aan een tafel met laptops voor zich. Een van hen gebruikt een laptop met een scherm dat een zakelijke presentatie toont.

Veelgestelde vragen

  • Niet rechtstreeks via de wet. Maar in de praktijk wel: de bank moet onder DORA aantonen dat haar ICT-leveranciers de juiste maatregelen hebben. Dat wordt via contracten doorgegeven. De facto krijg je dus met DORA-eisen te maken zodra je een financiële instelling als klant hebt. 

  • Een ICT-leverancier die diensten levert die kritiek zijn voor het functioneren van financiële entiteiten, bepaald op basis van criteria zoals systeemrelevantie en marktconcentratie. Critical providers vallen onder direct Europees toezicht. Voor de meeste ICT-bedrijven geldt dit niet, maar voor de grote cloudleveranciers wel. 

  • Het is een goede basis, maar niet voldoende. DORA stelt aanvullende eisen rond incidentmelding, weerbaarheidstests, leveranciersbeheer en bestuurlijke governance die verder gaan dan ISO 27001. Wel: wie ISO 27001 op orde heeft, heeft een aanzienlijke voorsprong. 

  • Een geavanceerde vorm van penetratietesten waarbij de tester scenario's nabootst van realistische dreigingsactoren. TLPT is verplicht voor de grotere financiële entiteiten onder DORA. Het wordt uitgevoerd door gespecialiseerde testers. Niet iets wat we zelf doen, maar wel iets waarvoor we organisaties voorbereiden en begeleiden. 

Drie mensen in een gesprek in een kantoorruimte, twee mannen en een vrouw, met laptops en kopjes koffie op de tafel.

10+ Jaar
ervaring

Expertise

Menselijk &
pragmatisch

Geperfectioneerde aanpak

Bij 100+
organisaties

Bewezen succes

Klaar om DORA-ready te worden?

In een eerste gesprek bepalen we samen of en hoe DORA jouw organisatie raakt, en wat de logische volgende stap is. 

Man met bril, glimlach, is aan het bellen op een telefoon, zit op gele bank, binnen, moderne kantooromgeving. Neem contact op met Rethink.