Plan intake
Wetgeving

Wat is DORA

Laatst bijgewerkt: 12 mei 2026Leestijd: 6 minDoor URL.nl Redactie

TL;DR

DORA (Digital Operational Resilience Act) is een Europese verordening die financiële ondernemingen verplicht hun digitale weerbaarheid op orde te hebben. De verordening is sinds 17 januari 2025 van toepassing en rust op vijf pijlers: ICT-risicobeheer, incidentrapportage, weerbaarheidstesten, third-party risk en informatiedeling. Toezicht in Nederland ligt bij AFM en DNB.

Wat is DORA

DORA is een verordening (geen richtlijn), die rechtstreeks geldt in alle EU-lidstaten zonder nationale omzetting. Het doel: één Europees regime voor digitale weerbaarheid in de financiële sector, van banken en verzekeraars tot vermogensbeheerders, crypto-asset service providers en kritieke ICT-leveranciers.

Wie valt eronder

Twintig categorieën financiële entiteiten, plus kritieke derde ICT-dienstverleners die voor hen werken. Voor kleine en niet-complexe instellingen gelden proportionele eisen.

De vijf pijlers

  • ICT-risicobeheer met governance en kaders
  • Beheer en rapportage van ICT-gerelateerde incidenten
  • Digitale weerbaarheidstesten, inclusief Threat Led Penetration Testing (TLPT)
  • Beheer van risico's bij ICT-derde partijen
  • Informatiedeling over cyberdreigingen

TLPT in de praktijk

Voor significante financiële entiteiten wordt minimaal elke drie jaar een TLPT-test verplicht. Deze geavanceerde, dreigingsgestuurde pentest simuleert realistische aanvallen op productieomgevingen en moet door geaccrediteerde testers worden uitgevoerd.

Third-party risk

Contracten met ICT-leveranciers moeten verplicht-elementen bevatten, zoals exit-strategieën, auditrechten en concentratieanalyse. Voor kritieke derden komt direct Europees toezicht via de ESA's.

Toezicht in Nederland

AFM en DNB zien toe op naleving. Overtredingen kunnen leiden tot bestuurlijke boetes, last onder dwangsom en aanwijzingen.

Veelgestelde vragen

Is DORA al van kracht?

Ja, sinds 17 januari 2025.

Geldt DORA naast NIS2?

Voor financiële entiteiten geldt DORA als lex specialis, NIS2-bepalingen over ICT-risico en incidenten worden door DORA voorrang gegeven.

Wat moet ik als ICT-leverancier doen?

Verwacht uitgebreidere contractuele eisen van klanten in de financiële sector, plus mogelijke aanwijzing als kritieke derde partij met direct toezicht.

Deze informatie is bedoeld als praktische uitleg en vormt geen juridisch advies. Controleer altijd de actuele wetgeving en raadpleeg waar nodig een juridisch adviseur of toezichthouder.

Verder lezen

Laatst bijgewerkt op 12 mei 2026 door de URL.nl Redactie.

Wil je weten wat jouw organisatie nodig heeft?

Plan een korte cybersecurity intake. We nemen samen je situatie door en geven concrete vervolgstappen.

Plan een cybersecurity intake