DORA (Digital Operational Resilience Act, Verordening (EU) 2022/2554) is de Europese verordening voor het beheersen van ICT-risico’s in de financiële sector. Sinds 17 januari 2025, zonder overgangsperiode, moeten banken, verzekeraars en aangewezen kritieke ICT-derde partijen aantoonbaar aan DORA voldoen.
DORA werkt via vijf pijlers: ICT-risicobeheer, ICT-incidentrapportage, testen van digitale operationele weerbaarheid, beheer van ICT-risico’s bij derde partijen en informatie-uitwisseling. Elke pijler stelt eigen eisen aan financiële instellingen.
DORA is een Europese verordening en geen richtlijn: de tekst geldt rechtstreeks in elke lidstaat, zonder dat een nationale wet de regels eerst moet omzetten. Anders dan bij een richtlijn was er na de inwerkingtreding geen overgangsperiode.
DORA geldt niet alleen voor financiële instellingen zelf, maar ook voor de kritieke ICT-leveranciers waarvan zij afhankelijk zijn. Zo’n leverancier valt onder het toezicht van DORA zodra de Europese toezichthouders hem aanwijzen als kritieke ICT-derde partij (artikel 28 tot en met 30, Verordening (EU) 2022/2554).
Voor financiële instellingen die ook onder NIS2 vallen, geldt DORA als de specifiekere regeling. Bepaal daarom eerst of je organisatie als financiële entiteit of als aangewezen ICT-derde partij onder DORA valt.
Wat is DORA?
DORA staat voor Digital Operational Resilience Act, in het Nederlands de verordening digitale operationele weerbaarheid. De officiële naam is Verordening (EU) 2022/2554 van het Europees Parlement en de Raad (EUR-Lex, 2022).
De verordening regelt hoe financiële instellingen omgaan met risico’s rond hun informatie- en communicatietechnologie (ICT). Vóór DORA hadden lidstaten losse, nationale regels voor operationele risico’s in de financiële sector; DORA vervangt die door één geharmoniseerd kader binnen de EU.
Het doel van DORA is dat de sector financiële diensten blijft leveren bij een cyberaanval, storing of uitval van een ICT-leverancier. De verordening richt zich daarom niet alleen op preventie, maar ook op detectie, respons en herstel.
Voor wie geldt DORA?
DORA geldt voor vrijwel de hele financiële sector in de EU. Artikel 2 van de verordening somt op welke typen financiële entiteiten eronder vallen (EUR-Lex, Verordening (EU) 2022/2554).
- Banken (kredietinstellingen): commerciële banken en andere instellingen met een bankvergunning.
- Verzekeraars en herverzekeraars: verzekeringsmaatschappijen die onder de Solvency II-richtlijn vallen.
- Beleggingsondernemingen: partijen die beleggingsdiensten aanbieden of vermogen beheren.
- Betalingsinstellingen: aanbieders van betaaldiensten en elektronisch geld.
Kritieke ICT-derde partijen: artikel 28 tot en met 30
DORA geldt ook voor de ICT-leveranciers waarvan financiële instellingen structureel afhankelijk zijn. De artikelen 28 tot en met 30 van de verordening verplichten financiële instellingen om hun ICT-leveranciers te beoordelen en vast te leggen in een register van informatie (EUR-Lex, Verordening (EU) 2022/2554).
De Europese toezichthouders kunnen een ICT-leverancier daarnaast aanwijzen als kritiek. Een aangewezen kritieke ICT-derde partij valt dan rechtstreeks onder het Europese oversight-kader van DORA, met eigen verplichtingen richting de toezichthouder.
Is DORA verplicht?
Ja, DORA is verplicht. DORA is een Europese verordening, en een verordening geldt rechtstreeks in elke lidstaat, zonder dat nationale wetgeving de tekst eerst hoeft om te zetten.
Dat is een belangrijk verschil met een richtlijn zoals NIS2: een richtlijn stelt alleen het doel vast en laat de invulling aan de lidstaten, met een omzettingstermijn voordat de regels gelden. DORA kent die vertraging niet.
DORA is sinds 17 januari 2025 volledig van kracht. Er was geen overgangsperiode na die datum: financiële instellingen en aangewezen kritieke ICT-derde partijen moeten vanaf die dag aan de eisen voldoen (EUR-Lex, Verordening (EU) 2022/2554).
De vijf pijlers van DORA
DORA is opgebouwd rond vijf pijlers. Samen bepalen ze hoe een financiële instelling ICT-risico’s beheerst, erover rapporteert en zich erop voorbereidt (EUR-Lex, Verordening (EU) 2022/2554).
1. ICT-risicobeheer
De eerste pijler verplicht financiële instellingen een raamwerk voor ICT-risicobeheer in te richten en te onderhouden. Het bestuur is eindverantwoordelijk voor het beleid en de risicobeoordelingen.
2. ICT-incidentrapportage
De tweede pijler verplicht het melden van grote ICT-gerelateerde incidenten bij de toezichthouder. De verordening werkt de classificatiecriteria en de meldprocedure verder uit in technische reguleringsnormen.
3. Testen van digitale operationele weerbaarheid
De derde pijler verplicht instellingen hun ICT-systemen periodiek te testen op weerbaarheid. Grote en systeemrelevante instellingen voeren daarnaast dreigingsgestuurde penetratietesten uit, bekend als TLPT.
4. Beheer van ICT-risico’s bij derde partijen
De vierde pijler verplicht instellingen hun ICT-leveranciers te beoordelen, contractueel vast te leggen en te registreren in een register van informatie. Kritieke ICT-leveranciers vallen daarnaast onder het Europese oversight-kader (artikel 28 tot en met 30, Verordening (EU) 2022/2554).
5. Informatie-uitwisseling
De vijfde pijler maakt het voor financiële instellingen mogelijk om onderling dreigingsinformatie te delen over cyberaanvallen en kwetsbaarheden. Deelname aan zo’n uitwisseling is vrijwillig.
DORA vergeleken met andere normen en wetten
DORA staat niet op zichzelf: de verordening overlapt met NIS2, en raakt ISO 27001 en de AVG. Eerst de belangrijkste vergelijking, daarna de rest.
DORA vs NIS2
Het verschil tussen DORA en NIS2 is dat DORA specifiek voor de financiële sector geldt en NIS2 voor 18 kritieke sectoren in het algemeen. Financiële instellingen vallen in principe onder beide, maar artikel 4 van de NIS2-richtlijn regelt dat sectorspecifieke EU-wetgeving met een gelijkwaardig effect voorrang krijgt (EUR-Lex, Richtlijn (EU) 2022/2555).
DORA is zo’n sectorspecifieke regeling: de verordening geldt als lex specialis en gaat voor NIS2 bij financiële entiteiten die onder beide vallen. Voor IT-leveranciers aan de financiële sector werkt dat niet automatisch door: wie zelf niet als financiële entiteit kwalificeert, kan alsnog onder NIS2 vallen en via de keten met DORA-eisen te maken krijgen.
DORA en ISO 27001
ISO 27001 is een vrijwillige, certificeerbare norm voor informatiebeveiliging; DORA is een wettelijk verplichte verordening voor de financiële sector. Een werkend ISO 27001-managementsysteem dekt een deel van de DORA-pijler ICT-risicobeheer en levert bewijs dat een financiële instelling kan gebruiken richting haar toezichthouder.
DORA en de AVG
De AVG beschermt persoonsgegevens; DORA beschermt de digitale operationele weerbaarheid van de financiële sector. Een incident dat persoonsgegevens raakt, kan tegelijk een melding onder de AVG bij de Autoriteit Persoonsgegevens en een melding onder DORA bij de financiële toezichthouder vereisen.
Zo helpt ClickOn met DORA
Een deel van de DORA-pijler ICT-risicobeheer bestaat uit technische maatregelen: toegangsbeheer, monitoring, back-up en recovery, encryptie en logging. Dat is het werk dat een managed service provider dagelijks doet, inclusief de bewijsvoering die een toezichthouder wil zien.
ClickOn is ISO 27001-gecertificeerd sinds 2021 en heeft 100 procent van 25 audits doorstaan. De Compliance Sprint brengt de technische maatregelen binnen 30 dagen audit-klaar, voor een vaste prijs per werkplek.
Met compliant werkplekbeheer (PremiumOn) blijft het daarna werken: een werkplek is binnen 24 uur compliant ingericht, voor €148 per werkplek per maand, inclusief 24/7 bewaking en support. Het beleid, de governance en de formele rapportage richting de toezichthouder blijven bij de financiële instelling zelf; ClickOn levert de technische uitvoering en het bewijs.
Moet je organisatie aan DORA voldoen? Start de Compliance Sprint Bekijk compliant werkplekbeheer
Veelgestelde vragen over DORA
Is DORA verplicht?
Ja. DORA is een Europese verordening en geldt daardoor rechtstreeks, zonder nationale omzetting. De verordening is sinds 17 januari 2025 van kracht voor financiële instellingen en aangewezen kritieke ICT-derde partijen (EUR-Lex, Verordening (EU) 2022/2554).
Voor wie geldt DORA?
DORA geldt voor financiële entiteiten zoals banken, verzekeraars, beleggingsondernemingen en betalingsinstellingen. Daarnaast geldt de verordening voor ICT-leveranciers die door de Europese toezichthouders zijn aangewezen als kritieke ICT-derde partij (artikel 28 tot en met 30, Verordening (EU) 2022/2554).
Wat zijn de vijf pijlers van DORA?
De vijf pijlers zijn ICT-risicobeheer, ICT-incidentrapportage, testen van digitale operationele weerbaarheid, beheer van ICT-risico’s bij derde partijen en informatie-uitwisseling.
Wat is het verschil tussen DORA en NIS2?
DORA is de specifieke verordening voor de financiële sector; NIS2 is de bredere richtlijn voor 18 kritieke sectoren. Artikel 4 van de NIS2-richtlijn bepaalt dat DORA als lex specialis voorrang krijgt bij financiële entiteiten die onder beide vallen (EUR-Lex, Richtlijn (EU) 2022/2555).
Sinds wanneer geldt DORA?
DORA geldt sinds 17 januari 2025 in de hele Europese Unie, zonder overgangsperiode na die datum (EUR-Lex, Verordening (EU) 2022/2554).