DORA

De Digital Operational Resilience Act (DORA)

Op 14 december 2022 heeft het Europees Parlement de Digital Operational Resilience Act (DORA) vastgesteld. Deze verordening markeert een omslagpunt in de Europese wetgeving voor de financiële sector. Waar eerder cyberrisico’s grotendeels nationaal en vaak fragmentarisch werden gereguleerd, introduceert DORA een uniform en juridisch bindend kader.

Het doel is helder: financiële instellingen binnen de EU moeten aantoonbaar weerbaar zijn tegen cyberdreigingen, operationele verstoringen en technologische uitval. De nadruk ligt niet langer op het naleven van richtlijnen, maar op het structureel versterken van de digitale weerbaarheid en het beheersen van ICT-risico’s, zowel in de eigen organisatie als binnen de keten.

Bekijk de verordening van het Europees Parlement >

Voor wie van toepassing?

De wetgeving is van toepassing op een breed scala aan financiële entiteiten:

• Banken.
• Verzekeraars.
• Pensioenfondsen.
• Beleggingsinstellingen.
• Betaaldienstverleners.
• Verzekeringstussenpersonen.
• Centrale tegenpartijen.
• (I)CSD’s en andere kritieke marktpartijen.

Daarnaast strekt de reikwijdte zich nadrukkelijk uit tot derde partijen, waaronder IT-dienstverleners, cloudproviders, ketenpartners en shared service centers. Instellingen blijven zelf verantwoordelijk voor de beheersing van uitbestede ICT-risico’s.

DORA compliance vraagt daarmee om integraal ketenbeheer, heldere governance en aantoonbare sturing. ARC People ondersteunt met gespecialiseerde consultants bij het inrichten en implementeren van deze beheersmaatregelen.

Inhoud van de wetgeving

DORA bestaat uit vijf hoofdonderdelen:

1. ICT-risicobeheer
   Inbedding van ICT-risico’s binnen het brede risicomanagementkader, inclusief governance, beleid en continue monitoring.
2. Incidentrapportage
   Verplichte melding van significante ICT-incidenten, inclusief root cause analyse, tijdlijnen en herstelmaatregelen.
3. Testen van digitale weerbaarheid
   Regelmatige en gestructureerde testprocedures, waaronder threat-led penetration testing conform het TIBER-EU kader.
4. Risicobeheer bij derde partijen
   Transparantie over uitbesteding, inclusief risicoanalyses, contractuele afspraken, exitstrategieën en toezicht op prestaties.
5. Informatie-uitwisseling over cyberdreigingen
   Het gestructureerd delen van dreigingsinformatie met relevante partijen in het ecosysteem, met waarborgen voor vertrouwelijkheid en proportionaliteit.

Verder bestaat de regelgeving uit de volgende technische standaarden op detailniveau (Level 2):

• Regulatory Technical Standards (RTS), zoals bijvoorbeeld het uitvoeren van Threat-led Penetration testing volgens het uitgebreide TIBER-EU normenkader. Meer informatie >
• Implementing Technical Standards (ITS). In de ITS zijn gedetailleerde templates opgenomen die gehanteerd dienen te worden om te voldoen. Belangrijk voorbeeld hierin is het “Register of Information”. In de “ITS Register of Information” wordt in het grootste detail aangegeven hoe dit register opgebouwd dient te worden. Zie ook de onderstaande figuur.

Templates in ITS Register of Information

NOREA’s normenkader ‘DORA in control framework’

NOREA stelde een goed normenkader ter beschikking, dat nauw aansluit op de DORA-wetgeving. Het normenkader bevat een uitgebreide set beheersingsmaatregelen en vormt een brug tussen DORA en bestaande kaders, zoals de Good Practice Informatiebeveiliging 2023 van DNB. Belangrijk is dat dit NOREA-raamwerk direct de DORA-eisen afdekt en een mapping bevat naar de vragen uit de sectorbrede analyse (SBA) cyberweerbaarheid van DNB. Hierdoor kunnen financiële instellingen een gap-analyse uitvoeren en per DORA-maatregel hun status bepalen, om zowel de eigen DORA-compliance te borgen als om de SBA-vragenlijst van DNB efficiënt in te vullen.

DNB’s Sectorbrede Analyse (SBA) Cyberweerbaarheid

DNB’s Sectorbrede Analyse (SBA), voorheen bekend als SBA-IB, is het door DNB gebruikte instrument om de cyberweerbaarheid van pensioenfondsen en verzekeraars periodiek te beoordelen. Nu DORA van kracht is, heeft DNB de SBA-vragenlijst in 2025 geactualiseerd voor instellingen die onder DORA vallen. Deze aangepaste SBA-Cyberweerbaarheid 2026 is inhoudelijk afgestemd op DORA: de set vragen omvat een aantal generieke risicovragen en een selectie van DORA-gerelateerde beheersingsmaatregelen waarop de instelling haar volwassenheidsniveau moet rapporteren. Let op: de vragenlijst dekt niet alle DORA-verplichtingen; financiële instellingen blijven zelf verantwoordelijk om volledig aan alle DORA-eisen te voldoen. De uitkomsten van interne audits of self-assessments aan de hand van het NOREA-normenkader kunnen echter direct dienen als input voor het beantwoorden van de SBA-vragen. Zo wordt dubbele inspanning beperkt en ontstaat een samenhangend overzicht van de weerbaarheidspositie.

De rol van ARC People: consultancy, audit en implementatie

De belangrijkste boodschap is duidelijk: wees proactief en strategisch in de implementatie van DORA. Maak gebruik van beschikbare guidance zoals het NOREA DORA-framework om de overlap met bestaande eisen (SBA, Good Practice) inzichtelijk te maken en focus op de praktische implicaties: van het opzetten van gestructureerd ICT-risicomanagement tot aantoonbaar effectieve beveiligingsmaatregelen in de dagelijkse operatie. Daarbij is tijdige actie cruciaal.

De consultants van ARC People begeleiden instellingen bij het vertalen van de wettelijke vereisten naar een toepasbaar en duurzaam raamwerk. Onze inzet richt zich o.a. op:

• Uitvoering van DORA audits.
• Quick scans en maturity assessments.
• Ontwikkeling van een integrale DORA roadmap en de projectuitvoering ervan.
• Ondersteuning bij auditvoorbereiding.
• Inrichting van rapportageketens en verantwoordingsstructuren.
• Advies over ketenbeheer en functionele inrichting van het Register of Information.

Als gespecialiseerde partner brengen wij diepgaande vakinhoudelijke kennis samen met ervaring op het snijvlak van risk, compliance en audit. Wij kennen de verwachtingen van toezichthouders en vertalen die naar de realiteit van uw organisatie.