DORA

The Digital Operational Resilience Act (DORA).

On December 14, 2022, the European Parliament adopted the Digital Operational Resilience Act (DORA). This regulation marks a turning point in European legislation for the financial sector. Whereas previously cyber risks were largely regulated nationally and often piecemeal, DORA introduces a uniform and legally binding framework.

The goal is clear: financial institutions within the EU must be demonstrably resilient against cyber threats, operational disruptions and technological failures. The emphasis is no longer on compliance with directives, but on structurally strengthening digital resilience and managing ICT risks, both within their own organization and within the chain.

View the regulation of the European Parliament >

Applicable to whom?

The legislation applies to a wide range of financial entities:

• Banks.
• Insurers.
• Pension funds.
• Investment Institutions.
• Payment service providers.
• Insurance intermediaries.
• Central counterparties.
• (I)CSDs and other critical market participants.

In addition, the scope explicitly extends to third parties, including IT service providers, cloud providers, chain partners and shared service centers. Institutions themselves remain responsible for managing outsourced IT risks.

DORA compliance thus requires integrated supply chain management, clear governance and demonstrable control. ARC People supports with specialized consultants in designing and implementing these control measures.

Content of legislation

DORA consists of five main components:

1. ICT risk management
   Embed ICT risks within the broad risk management framework, including governance, policy and continuous monitoring.
2. Incident Reporting
   Mandatory reporting of significant ICT incidents, including root cause analysis, timelines and remedial actions.
3. Digital resilience testing.
   Regular and structured testing procedures, including threat-led penetration testing in accordance with the TIBER-EU framework.
4. Risk management with third parties
   Transparency on outsourcing, including risk assessments, contractual agreements, exit strategies and performance monitoring.
5. Cyber threat information sharing.
   Structured sharing of threat information with relevant parties in the ecosystem, with safeguards for confidentiality and proportionality.

Furthermore, the regulations consist of the following technical standards at the detail level (Level 2):

• Regulatory Technical Standards (RTS), such as, for example, performing Threat-led Penetration testing according to the comprehensive TIBER-EU standards framework. Learn more >
• Implementing Technical Standards (ITS). The ITS include detailed templates that must be used to comply. An important example herein is the "Register of Information." The "ITS Register of Information" indicates in the greatest detail how this register should be constructed. See also the figure below.

Templates in ITS Register of Information

NOREA’s normenkader ‘DORA in control framework’

NOREA stelde een goed normenkader ter beschikking, dat nauw aansluit op de DORA-wetgeving. Het normenkader bevat een uitgebreide set beheersingsmaatregelen en vormt een brug tussen DORA en bestaande kaders, zoals de Good Practice Informatiebeveiliging 2023 van DNB. Belangrijk is dat dit NOREA-raamwerk direct de DORA-eisen afdekt en een mapping bevat naar de vragen uit de sectorbrede analyse (SBA) cyberweerbaarheid van DNB. Hierdoor kunnen financiële instellingen een gap-analyse uitvoeren en per DORA-maatregel hun status bepalen, om zowel de eigen DORA-compliance te borgen als om de SBA-vragenlijst van DNB efficiënt in te vullen.

DNB’s Sectorbrede Analyse (SBA) Cyberweerbaarheid

DNB’s Sectorbrede Analyse (SBA), voorheen bekend als SBA-IB, is het door DNB gebruikte instrument om de cyberweerbaarheid van pensioenfondsen en verzekeraars periodiek te beoordelen. Nu DORA van kracht is, heeft DNB de SBA-vragenlijst in 2025 geactualiseerd voor instellingen die onder DORA vallen. Deze aangepaste SBA-Cyberweerbaarheid 2026 is inhoudelijk afgestemd op DORA: de set vragen omvat een aantal generieke risicovragen en een selectie van DORA-gerelateerde beheersingsmaatregelen waarop de instelling haar volwassenheidsniveau moet rapporteren. Let op: de vragenlijst dekt niet alle DORA-verplichtingen; financiële instellingen blijven zelf verantwoordelijk om volledig aan alle DORA-eisen te voldoen. De uitkomsten van interne audits of self-assessments aan de hand van het NOREA-normenkader kunnen echter direct dienen als input voor het beantwoorden van de SBA-vragen. Zo wordt dubbele inspanning beperkt en ontstaat een samenhangend overzicht van de weerbaarheidspositie.

ARC People's role: consulting, audit and implementation

De belangrijkste boodschap is duidelijk: wees proactief en strategisch in de implementatie van DORA. Maak gebruik van beschikbare guidance zoals het NOREA DORA-framework om de overlap met bestaande eisen (SBA, Good Practice) inzichtelijk te maken en focus op de praktische implicaties: van het opzetten van gestructureerd ICT-risicomanagement tot aantoonbaar effectieve beveiligingsmaatregelen in de dagelijkse operatie. Daarbij is tijdige actie cruciaal.

De consultants van ARC People begeleiden instellingen bij het vertalen van de wettelijke vereisten naar een toepasbaar en duurzaam raamwerk. Onze inzet richt zich o.a. op:

• Uitvoering van DORA audits.
• Quick scans and maturity assessments.
• Development of an integrated DORA roadmap and its project implementation.
• Audit preparation support.
• Setting up reporting chains and accountability structures.
• Consulting on supply chain management and functional design of the Register of Information.

As a specialized partner, we bring together in-depth subject matter knowledge with experience at the intersection of risk, compliance and audit. We know the expectations of regulators and translate them into the reality of your organization.