Plan intake
Wetgeving

DORA, Digital Operational Resilience Act voor financiële organisaties

Laatst bijgewerkt: 12 mei 2026Leestijd: 11 minDoor URL.nl Redactie

TL;DR

DORA, de Digital Operational Resilience Act, is sinds 17 januari 2025 rechtstreeks van toepassing op vrijwel de hele Europese financiële sector en hun kritieke ICT-leveranciers. De verordening verplicht banken, verzekeraars, beleggingsondernemingen en pensioenfondsen tot aantoonbaar ICT-risicobeheer, snelle incidentrapportage, periodieke weerbaarheidstesten en strikt third-party risk management. Toezicht ligt bij AFM, DNB en de Europese toezichthouders. DORA werkt naast de Cyberbeveiligingswet, financiële organisaties hebben in de praktijk met beide kaders te maken.

Wat is DORA

DORA is Verordening (EU) 2022/2554. Anders dan een richtlijn werkt een verordening rechtstreeks in alle lidstaten, zonder dat nationale wetgeving nodig is. Doel van DORA is dat de financiële sector een ernstige ICT-verstoring kan opvangen, herstellen en doorlopend kan blijven leveren, ook als een leverancier of cloudprovider uitvalt.

Waar de Cyberbeveiligingswet zich richt op brede maatschappelijke kritikaliteit, richt DORA zich specifiek op de financiële stabiliteit. De verordening werkt de eisen daarom veel concreter uit dan NIS2 en stelt strikte termijnen en formats voor rapportage en testen.

Sinds wanneer geldt DORA

DORA is op 17 januari 2025 van toepassing geworden. Toezichthouders verwachten dat in scope vallende organisaties op die datum aantoonbaar voldoen aan de hoofdverplichtingen. Voor een aantal technische standaarden (Regulatory Technical Standards) gelden gefaseerde invoeringstermijnen, maar het beginsel van compliance geldt vanaf januari 2025.

Voor wie geldt DORA

DORA geldt voor ongeveer twintig categorieën financiële entiteiten, plus hun kritieke ICT-dienstverleners. Belangrijke groepen zijn:

  • Banken en kredietinstellingen
  • Betaaldienstverleners en uitgevers van elektronisch geld
  • Beleggingsondernemingen en handelsplatformen
  • Verzekerings- en herverzekeringsondernemingen en intermediairs
  • Pensioenfondsen en aanbieders van crypto-activa onder MiCA
  • Centrale tegenpartijen, transactieregisters en centrale effectenbewaarinstellingen
  • Beheerders van alternatieve beleggingsinstellingen en beheerders van icbe's
  • Kritieke ICT-derde-partijdienstverleners, die direct onder Europees toezicht kunnen komen

Voor micro- en kleine ondernemingen geldt een proportioneler regime, maar zij vallen er niet automatisch buiten.

De vijf pijlers van DORA

DORA bouwt op vijf pijlers, die alle vijf aantoonbaar moeten worden ingericht.

  1. ICT-risicobeheer
  2. ICT-gerelateerde incidentrapportage
  3. Digital operational resilience testing
  4. Beheer van ICT-derde-partijrisico
  5. Informatie-uitwisseling over dreigingen

ICT-risicobeheer

Het bestuur draagt eindverantwoordelijkheid voor het ICT-risicokader. De verordening vereist een gedocumenteerd kader voor identificatie, bescherming, detectie, respons en herstel, met heldere governance, rollen en escalatielijnen. Onderdelen die toezichthouders concreet uitvragen:

  • Volledig ICT-asset register, gekoppeld aan kritieke bedrijfsfuncties
  • Beleid voor toegangsbeheer, encryptie, patchmanagement en netwerkbeveiliging
  • Business continuity en disaster recovery met geteste RTO en RPO
  • Periodieke risicoanalyses en bestuurlijke rapportages

Incidentrapportage

DORA hanteert strakke termijnen voor ICT-gerelateerde incidenten die als major worden geclassificeerd.

TermijnWat moet je doen
Binnen 4 uur na classificatieInitial notification aan de bevoegde toezichthouder
Binnen 72 uurIntermediate report met initiële impact en oorzaakanalyse
Binnen 1 maandFinal report met root cause, geleerde lessen en getroffen maatregelen

De classificatie major versus non-major werkt via vaste criteria (aantal klanten, duur, geografische spreiding, reputatie-impact, financiële verliezen en kritikaliteit van de getroffen dienst).

Digital operational resilience testing

DORA verplicht periodieke testen van de digitale weerbaarheid, met een proportionele zwaarte:

  • Jaarlijks: kwetsbaarheidsscans, scenario-based testen, performance testen en end-to-end testen van kritieke systemen
  • Minimaal eens per drie jaar: Threat-Led Penetration Testing (TLPT) voor grote financiële entiteiten, uitgevoerd door geaccrediteerde testers

De resultaten worden gerapporteerd aan het bestuur en gebruikt om het ICT-risicokader bij te stellen.

Third-party risk en kritieke ICT-leveranciers

DORA legt strikte eisen op aan de relatie met ICT-leveranciers. Een register van alle contractuele afspraken met ICT-derde partijen is verplicht, evenals concentratie-analyses (te grote afhankelijkheid van één leverancier of cloudregio).

Contracten met leveranciers van kritieke functies moeten verplicht clausules bevatten over:

  • Servicebeschrijving, locaties van dienstverlening en gebruik van subcontractors
  • SLA's, performance en beschikbaarheid
  • Toegang, audit- en inspectierechten voor de financiële entiteit en de toezichthouder
  • Beëindigingsrechten en exit-strategie
  • Samenwerking bij incidenten en testen

De Europese toezichthouders (ESA's) kunnen ICT-leveranciers als kritiek aanwijzen, waarna ze rechtstreeks onder Europees toezicht vallen.

Informatie-uitwisseling over dreigingen

DORA stimuleert dat financiële entiteiten threat intelligence en indicators of compromise vrijwillig delen binnen vertrouwde communities. Dit is geen verplichting, maar wel een sterke aanbeveling die in inspecties meeweegt.

Toezicht en sancties

In Nederland zijn DNB en AFM de bevoegde toezichthouders. Voor kritieke ICT-derde partijen kan een Europese toezichthouder optreden.

Sancties verschillen per type entiteit en overtreding. Voor kritieke ICT-leveranciers geldt een dwangsom van maximaal 1 procent van de gemiddelde dagelijkse wereldwijde omzet, per dag, tot maximaal zes maanden. Voor financiële entiteiten kunnen de nationale sanctiekaders worden gebruikt, waaronder boetes, openbaarmaking en bestuurlijke maatregelen.

Samenloop met NIS2 en de Cyberbeveiligingswet

Banken en andere financiële entiteiten staan ook op de NIS2-lijst. DORA is hier lex specialis: voor onderwerpen die DORA regelt (ICT-risicobeheer, incidentrapportage, testen, leveranciers) gaat DORA voor. Voor onderwerpen die DORA niet expliciet regelt, kan de Cyberbeveiligingswet aanvullend werken. In de praktijk levert dit één geïntegreerd compliance-programma op, geen twee aparte trajecten.

Deze informatie is bedoeld als praktische uitleg en vormt geen juridisch advies. Controleer altijd de actuele wetgeving en raadpleeg waar nodig een juridisch adviseur of toezichthouder.

Praktische aanpak

Een werkbaar DORA-traject volgt vier sporen.

1. Gap-analyse tegen de vijf pijlers

Wat heb je al, waar zitten gaten? Resultaat: een prioritaire actielijst en bestuursrapportage.

2. Documentatie en governance

Ict-risicokader, incidentbeleid, testprogramma en leveranciersbeleid worden vastgelegd in één centraal dossier. Het bestuur keurt actief goed.

3. Leveranciersregister en contractsanering

Alle ICT-contracten worden geïnventariseerd, getoetst op DORA-clausules en herzien waar nodig. Concentratierisico wordt expliciet gemaakt.

4. Test- en oefencyclus

Jaarlijkse en driejaarlijkse testen worden gepland, uitgevoerd en gerapporteerd. Lessen vloeien terug in het risicokader.

URL.nl voert dit uit met onze cybersecurity partners. Bekijk de aanpak per sector of plan een intake.

Veelgestelde vragen

Geldt DORA voor onze beleggingsonderneming met 30 medewerkers?

Vrijwel zeker ja. De omvangsdrempels onder DORA zijn lager dan onder NIS2. Wel kan een proportioneler regime gelden voor onderdelen van de verordening.

Wij gebruiken alleen één cloudprovider, is dat een probleem?

Niet automatisch, maar je moet het concentratierisico expliciet maken en beheersen, met een geloofwaardige exit-strategie. Toezichthouders kijken hier scherp naar.

Hoe verhoudt DORA zich tot ISO 27001 en SOC 2?

Bestaande certificeringen dekken een groot deel van het ICT-risicokader. DORA voegt vooral aanvullende eisen toe op incidentrapportage, testen en leveranciersbeheer. Een goed ingericht ISMS scheelt aanzienlijk werk.

Wat als onze hoofdleverancier door de ESA's als kritiek wordt aangewezen?

Dan komt die leverancier onder direct Europees toezicht. Voor jou verandert er weinig in je eigen verplichtingen, maar de leverancier kan extra eisen aan jullie samenwerking stellen.

Officiële bronnen

Laatst bijgewerkt op 12 mei 2026 door de URL.nl Redactie. DORA wordt verder uitgewerkt via Regulatory Technical Standards, controleer altijd de actuele versie bij AFM en DNB.

Wil je weten wat jouw organisatie nodig heeft?

Plan een korte cybersecurity intake. We nemen samen je situatie door en geven concrete vervolgstappen.

Plan een cybersecurity intake