Ga naar inhoud

DORA: digitale operationele veerkracht financiële sector

DORA verankert digitale weerbaarheid in de financiële sector: van ICT-risicomanagement tot incidentmelding, testen en contractuele eisen aan ICT-leveranciers. Deze pagina is je praktische instapper voor Nederlandse context.

Plan een vrijblijvend gesprek

ISO Ready helpt je om beleid, risico’s en bewijslast samen te brengen — zonder eindeloze documentstromen.

Bekijk je ISMS-aanpak in ISO Ready

DORA (Digital Operational Resilience Act) versterkt digitale weerbaarheid in de Europese financiële sector. Banken, verzekeraars, beleggingsondernemingen en kritieke ICT-dienstverleners moeten ICT-risico’s, incidenten, testen en keten aantoonbaar beheersen.

Wat is DORA?

DORA bundelt eisen rond ICT-risicomanagement, incidentrapportage, digitale operationele resilience testing, ketenrisico’s en informatiedeling. Het vult bestaand financieel toezicht aan met expliciete ICT-verwachtingen — vooral waar cloud, SaaS en uitbesteding dominant zijn.

Voor wie relevant?

Financiële entiteiten onder EU-toezicht en organisaties die als critical ICT third-party service provider aan die sector leveren. Ook indirect: leveranciers die via due diligence en contracten DORA-bewijs moeten leveren aan banken en verzekeraars.

Praktische stappen

  1. Inventariseer kritieke ICT-diensten en subverwerkers — koppel aan je leveranciersbeheer.
  2. Leg incident- en meldroutes vast (intern én richting toezicht waar van toepassing).
  3. Plan resilience tests (inclusief scenario’s voor uitval cloud/SaaS).
  4. Actualiseer contracten: auditrechten, exit, subverwerkers, locatie data.
  5. Koppel bewijs aan je ISMS en ISO 27001-route waar overlap is.

Relatie met NIS2 en AVG

NIS2 en de Cybersecuritybeveiligingswet raken bredere sectoren; DORA is sectorspecifiek voor finance. Bij persoonsgegevens in incidenten blijft de AVG parallel relevant — stem SOC- en privacyprocessen af.

Zie ook EU hosting en dataopslag voor datalocatie en subverwerkers in cloudcontracten.

Kernpunten

  • DORA raakt banken, verzekeraars, beleggingsondernemingen en belangrijke ICT-leveranciers (critical ICT third-party).
  • ICT-risico, incidenten, resilience testing en keten staan centraal — naast bestaande toezichtkaders.
  • Contracten met cloud- en SaaS-leveranciers moeten aantoonbare exit-, audit- en meldrechten bevatten.
  • Koppel DORA aan je ISMS en leveranciersregister om dubbel werk te vermijden.

Veelgestelde vragen

Geldt DORA ook voor SaaS-leveranciers?
Kritieke ICT-dienstverleners aan de financiële sector vallen onder DORA — check contracten en toezichtsverwachtingen van je klanten.
Hoe verhoudt DORA zich tot NIS2?
Overlap op keten en incidenten; sector en toezichthouder bepalen welke route leidend is. Integreer bewijs in één ISMS waar mogelijk.

Doe de ISO 27001 readiness scan

Meet waar je staat vóór je investeert in documenten of consultants.

Start de readiness scan