DORA voor financiele IT-teams in Nederland
De Digital Operational Resilience Act (DORA) geldt per 17 januari 2025 in de hele EU. Voor Nederlandse financiele instellingen is het geen optie meer: DNB hanteert DORA als toezichtskader en verwacht aantoonbare implementatie.
Toch worstelen veel IT-teams nog met wat DORA concreet vraagt. De verordening is 79 artikelen lang en laat genoeg ruimte voor interpretatie. Dit is een praktisch overzicht van wat ertoe doet.
Wie valt onder DORA
De scope is breed. Banken en kredietinstellingen, verzekeraars, pensioenfondsen, beleggingsondernemingen en betaaldienstverleners vallen er direct onder. Maar ook fintechs die een vergunning hebben van de AFM of DNB.
Het interessante deel: ICT-leveranciers van financiele instellingen vallen er indirect ook onder. Als jij cloud, software of managed services levert aan een bank, moet die bank kunnen aantonen dat jij aan bepaalde eisen voldoet. In de praktijk betekent dat dat leveranciers contractueel verplicht worden tot auditrecht, incidentrapportage en aantoonbare beveiligingsmaatregelen.
De vijf pijlers
DORA draait om vijf gebieden.
ICT-risicobeheer is de basis. Instellingen moeten een gedocumenteerd raamwerk hebben voor het identificeren, beoordelen en beheersen van ICT-risico’s. Dat klinkt als iets wat iedereen al had, maar DORA stelt specifieke eisen aan governance, rapportagelijnen en de betrokkenheid van het bestuur.
Incidentrapportage is waar veel teams op vastlopen. DORA verplicht instellingen om ernstige ICT-gerelateerde incidenten te rapporteren aan DNB, met strakke termijnen: een initieel rapport binnen vier uur na classificatie, een tussentijds rapport binnen 72 uur, en een eindrapport binnen een maand. Dat vereist dat je incidenten snel en eenduidig kunt classificeren, wat een volwassen SIEM en duidelijke runbooks veronderstelt.
Resilience testing gaat verder dan een jaarlijkse penetratietest. DORA verplicht voor significante instellingen ook Threat-Led Penetration Testing (TLPT), een geavanceerde red team-oefening gebaseerd op actuele dreigingsinformatie. TIBER-EU is het Europese raamwerk daarvoor; DNB heeft TIBER-NL als nationale implementatie.
Third-party risk raakt direct aan cloudstrategie. Instellingen moeten een register bijhouden van alle ICT-leveranciers, de kritikaliteit beoordelen en voor kritieke leveranciers specifieke contractuele afspraken maken, inclusief auditrecht en exitstrategieen. Voor AWS, Azure en GCP zijn er inmiddels standaardclausules beschikbaar, maar de documentatie en beoordeling blijft de verantwoordelijkheid van de instelling zelf.
Informatie-uitwisseling is de minst belastende pijler. DORA stimuleert instellingen om informatie over cyberdreigingen en kwetsbaarheden te delen, zowel onderling als met toezichthouders. Deelname aan sectorale ISACs (Information Sharing and Analysis Centers) helpt hier.
Wat dit betekent voor cloudstrategie
Als je financiele instelling zwaar leunt op SaaS, zijn er twee concrete gevolgen.
Ten eerste moet je per leverancier de kritikaliteit vastleggen. Een SaaS-tool voor HR-planning is anders dan een clouddienst die je kernbankiersysteem ondersteunt. Voor kritieke leveranciers gelden zwaardere eisen aan contracten, monitoring en exitplanning.
Ten tweede moet je aantoonbaar kunnen sturen op concentratierisico. DORA vraagt expliciet aandacht voor situaties waarin te veel kritieke processen afhankelijk zijn van een enkele leverancier. Multi-cloud is geen verplichting, maar je moet het risico van concentratie kunnen uitleggen aan de toezichthouder.
Voor SaaS-leveranciers zelf betekent dit dat klanten in de financiele sector steeds vaker vragen om SOC 2 Type II-rapporten, ISO 27001-certificaten, en contractuele toezeggingen over incidentrapportage en beschikbaarheid.
Waar je nu mee begint
De meeste teams zijn redelijk op weg met ICT-risicobeheer en basisbeveiliging. De blinde vlekken zitten doorgaans in drie plekken: het leveranciersregister (onvolledig of niet actueel), de incidentclassificatieprocedure (niet formeel genoeg voor DORA-rapportage), en de TLPT-verplichting (onderschat hoe lang de voorbereiding duurt).
Als je in een financiele IT-omgeving werkt en meer grip wilt op DORA, bekijk dan compliance en security-trainingen die specifiek op deze regelgeving ingaan.