DORA

Wat is de Digital Operational Resilience Act (DORA)?

Op 14 december 2022 heeft het Europees Parlement de Digital Operational Resilience Act (DORA) vastgesteld. Deze verordening markeert een omslagpunt in de Europese wetgeving voor de financiële sector. Waar eerder cyberrisico’s grotendeels nationaal en vaak fragmentarisch werden gereguleerd, introduceert DORA een uniform en juridisch bindend kader.

Het doel is helder: financiële instellingen binnen de EU moeten aantoonbaar weerbaar zijn tegen cyberdreigingen, operationele verstoringen en technologische uitval. De nadruk ligt niet langer op het naleven van richtlijnen, maar op het structureel versterken van de digitale weerbaarheid en het beheersen van ICT-risico’s, zowel in de eigen organisatie als binnen de keten.

Bekijk de verordering van het Europees Parlement >

Voor wie van toepassing

De wetgeving is van toepassing op een breed scala aan financiële entiteiten:

• Banken
• Verzekeraars
• Pensioenfondsen
• Beleggingsinstellingen
• Betaaldienstverleners
• Verzekeringstussenpersonen
• Centrale tegenpartijen
• (I)CSD’s en andere kritieke marktpartijen

Daarnaast strekt de reikwijdte zich nadrukkelijk uit tot derde partijen, waaronder IT-dienstverleners, cloudproviders, ketenpartners en shared service centers. Instellingen blijven zelf verantwoordelijk voor de beheersing van uitbestede ICT-risico’s.

DORA compliance vraagt daarmee om integraal ketenbeheer, heldere governance en aantoonbare sturing. ARC People ondersteunt als gespecialiseerde consultant bij het inrichten en implementeren van deze beheersmaatregelen.

Inhoud van de wetgeving

DORA bestaat uit vijf hoofdonderdelen:

1. ICT-risicobeheer
   Inbedding van ICT-risico’s binnen het brede risicomanagementkader, inclusief governance, beleid en continue monitoring.
2. Incidentrapportage
   Verplichte melding van significante ICT-incidenten, inclusief root cause analyse, tijdlijnen en herstelmaatregelen.
3. Testen van digitale weerbaarheid
   Regelmatige en gestructureerde testprocedures, waaronder threat-led penetration testing conform het TIBER-EU kader.
4. Risicobeheer bij derde partijen
   Transparantie over uitbesteding, inclusief risicoanalyses, contractuele afspraken, exitstrategieën en toezicht op prestaties.
5. Informatie-uitwisseling over cyberdreigingen
   Het gestructureerd delen van dreigingsinformatie met relevante partijen in het ecosysteem, met waarborgen voor vertrouwelijkheid en proportionaliteit.

Verder bestaat de regelgeving uit de volgende technische standaarden op detailniveau (Level 2):

• Regulatory Technical Standards (RTS), zoals bijvoorbeeld het uitvoeren van Threat-led Penetration testing volgens het uitgebreide TIBER-EU normenkader. Meer informatie >
• Implementing Technical Standards (ITS). In de ITS zijn gedetailleerde templates opgenomen die gehanteerd dienen te worden om te voldoen. Belangrijk voorbeeld hierin is het “Register of Information”. In de “ITS Register of Information” wordt in de grootste detail aangegeven hoe dit register opgebouwd dient te worden. Zie ook de onderstaande figuur.

Templates in ITS Register of Information

Belangrijk om hierbij te vermelden is dat de finale versie van het 2^e deel van de RTS en ITS pas beschikbaar zijn gekomen in juli 2024.

Relatie met DNB Good Practice Informatiebeveiliging

Om financiële instellingen te ondersteunen in de voorbereiding heeft DNB op 19 december 2023 een geactualiseerde versie van de Good Practice Informatiebeveiliging gepubliceerd. Deze update vormt een brug tussen het bestaande nationale kader en de aankomende Europese regelgeving.

Een aanvullende stille update van deze versie bevat een duidelijke kanttekening:

“Vanaf 17 januari 2025 is DORA het wettelijke kader voor operationele weerbaarheid en vervangt daarmee de huidige Good Practice Informatiebeveiliging 2023 voor de instellingen die onder de reikwijdte van DORA vallen. U kunt de Good Practice Informatiebeveiliging 2023 als wegwijzer gebruiken om prioriteit te geven aan maatregelen die de belangrijkste risico’s mitigeren.“

In de praktijk betekent dit dat de Good Practice haar waarde behoudt als praktische leidraad, maar dat instellingen zich juridisch en inhoudelijk moeten richten op DORA als nieuw toetsingskader. ARC People adviseert instellingen over het zorgvuldig overbruggen van deze transitie. Dat doen we met oog voor proportionaliteit, uitvoerbaarheid en de verwachtingen van toezichthouders.

Ga naar Q&A >

De rol van ARC People: consultancy, audit en implementatie

DORA vraagt om meer dan compliance. Het vereist structuur, governance en samenhang. De consultants van ARC People begeleiden instellingen bij het vertalen van de wettelijke vereisten naar een toepasbaar en duurzaam raamwerk.
Onze inzet richt zich op:

• Quick scans en maturity assessments
• Ontwikkeling van een integrale DORA roadmap
• Ondersteuning bij auditvoorbereiding en audittrail
• Inrichting van rapportageketens en verantwoordingsstructuren
• Advies over ketenbeheer, soft controls en functionele inrichting van het Register of Information

Als gespecialiseerde partner in compliance consultancy brengen wij diepgaande vakinhoudelijke kennis samen met ervaring op het snijvlak van risk, compliance en audit. Wij kennen de verwachtingen van toezichthouders en vertalen die naar de realiteit van uw organisatie.

Waarom nu starten?

De impact van DORA op beleid, processen en samenwerking is aanzienlijk. Implementatie vraagt tijd, eigenaarschap en expertise. De instellingen die nu investeren in voorbereiding, kunnen straks met vertrouwen verantwoording afleggen tijdens toezicht of audit.

Meer weten of sparren over uw aanpak?

ARC People helpt u graag verder, van strategisch advies tot praktische ondersteuning bij implementatie. Neem contact op met een van onze consultants voor een verkennend gesprek.