DORA — de Digital Operational Resilience Act — is op 17 januari 2025 van kracht geworden. Anders dan NIS2 is DORA geen richtlijn maar een verordening: ze is direct bindend in alle EU-lidstaten, zonder nationale implementatie. En ze richt zich specifiek op de financiële sector.
De kern van DORA is niet de vraag of uw systemen veilig zijn. Het is de vraag of u kunt blijven functioneren — voor uw klanten, voor de markt, voor de toezichthouder — ook als uw systemen worden aangevallen of uitvallen. Inclusief de systemen van iedereen van wie u afhankelijk bent.
Voor wie geldt DORA?
DORA geldt voor alles wat met financiële dienstverlening te maken heeft: banken, betalingsinstellingen, beleggingsondernemingen, verzekeringsmaatschappijen, pensioenfondsen, ratingbureaus, crowdfundingplatformen. En — dit is cruciaal — ook voor ICT-derde-dienstverleners: cloudproviders, SaaS-aanbieders, softwarebedrijven die diensten leveren aan financiële instellingen.
Een softwarebedrijf dat facturatiesoftware levert aan een bank valt direct onder DORA. Een accountantskantoor dat werkt voor een verzekeringsmakelaar hoeft niet rechtstreeks onder DORA te vallen — maar de makelaar is verplicht de ICT-leveranciers van zijn accountant te beoordelen als die ICT-diensten leveren die de financiële dienstverlening raken. De grens is niet altijd scherp. De richting is dat wel: DORA werkt door in de hele keten.
De vijf pijlers van DORA
DORA is opgebouwd rond vijf kerngebieden. Samen vormen ze een raamwerk voor digitale operationele weerbaarheid.
Pijler 1 — ICT-risicobeheer
U moet een gedocumenteerd raamwerk hebben voor het beheren van ICT-risico’s. Niet een document dat in een la ligt — een werkend systeem dat u kunt aantonen aan een toezichthouder. Het raamwerk omvat identificatie van alle ICT-activa, bescherming, detectie van anomalieën, respons op incidenten, herstel, en het leren van incidenten. Een cloud AI-dienst is een ICT-actief. Het staat in uw register. U moet het risico ervan beoordelen en een exit-strategie hebben.
Pijler 2 — Beheer van ICT-gerelateerde incidenten
Ernstige ICT-incidenten moeten gemeld worden aan de bevoegde autoriteit. De termijnen zijn strikter dan in NIS2: 4 uur voor een eerste melding na classificatie als ernstig incident, 72 uur voor een tussentijds rapport, en 1 maand voor een eindrapport. Als een cloud AI-leverancier pas na zes uur communiceert over een incident dat uw dienstverlening heeft geraakt, heeft u al een probleem. Uw klok begint te lopen op het moment dat u het weet.
Pijler 3 — Testen van digitale operationele veerkracht
U mag niet alleen zeggen dat uw systemen veilig zijn — u moet het testen. Jaarlijkse tests van alle ICT-systemen zijn het basisniveau. Grote financiële instellingen zijn verplicht tot Threat-Led Penetration Testing (TLPT): gesimuleerde aanvallen op productiesystemen door gecertificeerde externe testers, minimaal elke drie jaar. Een cloud AI-dienst testen op veerkracht is complex: de provider bepaalt in grote mate wat u mag testen. Lokale systemen zijn volledig toegankelijk voor penetratietests zonder toestemming van een externe partij.
Pijler 4 — Beheer van risico’s van ICT-derde-dienstverleners
Dit is de pijler die het meeste impact heeft op de dagelijkse praktijk. Elke cloudprovider, elke SaaS-leverancier, elke externe ICT-dienst moet in een register staan, een DORA-conform contract hebben, beoordeeld worden op cybersecuritypraktijken, en een exit-strategie hebben. Het contract moet minimaal bevatten: een beschrijving van de te leveren diensten, de locatie waar die diensten worden geleverd, beschikbaarheids- en continuiteitsgaranties, en de exitprocedure als de samenwerking eindigt.
Pijler 5 — Informatie-uitwisseling
Financiële instellingen worden aangemoedigd informatie over cyberdreigingen en kwetsbaarheden te delen met andere instellingen en autoriteiten. DORA erkent dat cybersecurity een collectief probleem is: een aanval op één instelling is een signaal voor de hele sector.
Het register: de administratieve ruggengraat
Artikel 28 van DORA verplicht financiële entiteiten een register bij te houden van alle contractuele regelingen met ICT-leveranciers. Dat klinkt bureaucratisch. Maar het register is de basis van alles: het bepaalt welke leveranciers u moet beoordelen, welke contracten u moet aanpassen, en welke exit-strategieën u moet documenteren.
Als u nog geen register heeft, is het niet weten van DORA geen excuus. Het is precies de situatie die DORA wil verhelpen.
Drie stappen die u nu kunt zetten
1. Bepaal of u in scope bent
Bent u een financiële instelling, een verzekeringstussenpersoon, of een ICT-leverancier aan de financiële sector? Dan valt u rechtstreeks onder DORA. Levert u andere diensten aan financiële instellingen? Dan bent u onderdeel van hun DORA-keten.
2. Maak een ICT-register
Welke externe softwaretools, cloudproviders en diensten gebruikt u? Noteer per leverancier: wat levert hij, hoe kritiek is dat voor uw dienstverlening, en welke contractafspraken bestaan er over incidenten en continuïteit?
3. Controleer uw contracten
DORA stelt eisen aan de inhoud van contracten met ICT-leveranciers. Beschrijving van diensten, locatie van data, SLA’s, exitprocedures — staan die er concreet in? Zo niet, dan is aanpassing nodig voordat een toezichthouder dat vaststelt.
DORA heeft boetes die kunnen oplopen tot 1% van de gemiddelde dagelijkse wereldwijde omzet voor elke dag van niet-naleving. Voor ICT-derde-dienstverleners die als kritiek worden aangemerkt, gelden aanvullende verplichtingen en direct toezicht door de Europese toezichthouders zelf.