IT-AuditDirectory
Alle artikelen
Compliance8 min leestijd

DORA compliance: Een praktische gids voor financiële instellingen

IT-Audit Directory

Sinds 17 januari 2025 is de Digital Operational Resilience Act (DORA) van toepassing. Deze Europese verordening verplicht financiële instellingen en hun kritieke ICT-dienstverleners om hun digitale operationele weerbaarheid te waarborgen. In tegenstelling tot een richtlijn is DORA direct van toepassing in alle EU-lidstaten.

De vijf pijlers van DORA

  • ICT-risicobeheer: een robuust kader voor het identificeren, beschermen, detecteren, reageren en herstellen van ICT-gerelateerde risico's.
  • ICT-gerelateerde incidentrapportage: classificatie en melding van significante ICT-incidenten aan de bevoegde autoriteiten.
  • Digital operational resilience testing: regelmatige tests van ICT-systemen, waaronder threat-led penetration testing (TLPT) voor grote instellingen.
  • ICT third-party risk management: beheer van risico's verbonden aan ICT-dienstverleners, inclusief contractuele vereisten en exit-strategieën.
  • Informatie-uitwisseling: vrijwillige uitwisseling van dreigingsinformatie tussen financiële entiteiten.

Voor wie geldt DORA?

DORA geldt voor vrijwel alle financiële entiteiten: banken, verzekeraars, beleggingsondernemingen, pensioenfondsen, crypto-dienstverleners en meer. Daarnaast worden kritieke ICT-dienstverleners aan de financiële sector direct gereguleerd. De Europese toezichthouders (ESA's) stellen een register bij van kritieke ICT-dienstverleners.

Proportionaliteitsbeginsel

DORA hanteert een proportionaliteitsbeginsel: de vereisten worden afgestemd op de omvang, het risicoprofiel en de complexiteit van de instelling. Kleinere instellingen mogen vereenvoudigde kaders hanteren, maar moeten wel aan de basisvereisten voldoen.

Praktische stappen

Start met een DORA-gap-analyse om uw huidige situatie te vergelijken met de vereisten. Breng uw kritieke ICT-dienstverleners in kaart en beoordeel de contractuele afspraken. Stel een testprogramma op voor digital operational resilience testing. Een gespecialiseerde DORA-auditor kan u begeleiden bij dit traject.

Gerelateerde artikelen

Compliance

NIS2: Wat betekent de nieuwe richtlijn voor uw organisatie?

Lees meer Compliance

DORA Compliance: Praktische Gids voor de Financiele Sector

Lees meer Compliance

NIS2-Richtlijn en de Cyberbeveiligingswet: Wat Nederlandse Organisaties Moeten Weten

Lees meer

Op zoek naar een IT-auditor?

Vergelijk auditors, bekijk beoordelingen en vraag direct een vrijblijvende offerte aan via IT-Audit Directory.

Bekijk auditors