Compliance

DORA-toezicht door DNB en AFM: wat verwachten ze?

DORA-toezicht in Nederland: hoe DNB en AFM de taken verdelen, het informatieregister, incidentrapportage en wat een DORA-onderzoek inhoudt.

Wie houdt in Nederland toezicht op DORA, en wat verwachten die toezichthouders concreet? Het antwoord: De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) delen de taken, waarbij DNB primair het prudentiële toezicht en de ICT-risicobeheersing voor haar rekening neemt en de AFM het gedragstoezicht. Sinds DORA van toepassing is (17 januari 2025) verwachten beide toezichthouders dat financiële entiteiten hun ICT-risicobeheer, incidentrapportage en derde-partijmanagement aantoonbaar op orde hebben. Deze gids legt uit hoe het Nederlandse DORA-toezicht werkt en waar u zich op moet voorbereiden.

1. De taakverdeling DNB en AFM

De DORA-verordening (EUR-Lex, CELEX 32022R2554) heeft rechtstreekse werking; de nationale toezichthouders handhaven haar. In Nederland is de verdeling grofweg:

  • DNB — prudentieel toezicht op banken, verzekeraars, pensioenfondsen en betaalinstellingen. DNB kijkt naar ICT-risicobeheer, operationele weerbaarheid en continuïteit.
  • AFM — gedragstoezicht op onder meer beleggingsondernemingen, handelsplatformen en aanbieders van cryptoactivadiensten.

Veel entiteiten hebben met beide toezichthouders te maken, afhankelijk van hun vergunning en activiteiten. De onderliggende DORA-verplichtingen behandel ik in de gids over de DORA-verordening en de bredere financiële-sectorgids AVG in de financiële sector.

2. Het informatieregister: de eerste grote uitvraag

Een van de eerste concrete DORA-verplichtingen waar DNB op stuurde, is het informatieregister (register of information): een gestructureerd overzicht van alle contractuele afspraken met ICT-derde-dienstverleners. In 2025 heeft DNB dit register bij financiële entiteiten uitgevraagd, als eerste grote nalevingstoets.

Het register moet per ICT-dienstverlener onder meer bevatten: welke functie wordt uitbesteed, of het een kritieke of belangrijke functie betreft, welke entiteiten van de dienst afhankelijk zijn, en de looptijd en beëindigingsvoorwaarden van het contract. Dit is het DORA-equivalent van het verwerkingsregister onder de AVG — en net als daar geldt: als het register niet klopt, valt de rest ook om.

3. Wat DNB en AFM verwachten: de vijf pijlers

DORA rust op vijf pijlers, en de toezichthouders toetsen ze alle vijf:

Pijler Wat de toezichthouder verwacht
ICT-risicobeheer Een governance-raamwerk met bestuurlijke verantwoordelijkheid
Incidentrapportage Classificatie en tijdige melding van ernstige ICT-incidenten
Weerbaarheidstesten Periodieke tests, voor grote entiteiten geavanceerde TLPT
Derde-partijrisico Het informatieregister plus contractuele waarborgen
Informatie-uitwisseling Deelname aan dreigingsinformatie-uitwisseling (vrijwillig)

DNB heeft daarnaast haar Good Practice Informatiebeveiliging als richtsnoer, dat in de praktijk als toetsingskader dient voor de volwassenheid van de informatiebeveiliging.

4. Incidentrapportage: classificeren en melden

DORA verplicht financiële entiteiten om ernstige ICT-incidenten te classificeren en te melden aan de bevoegde toezichthouder (DNB of AFM), met een gefaseerde rapportage: een eerste melding, een tussentijdse update en een eindrapport. De drempels en termijnen zijn vastgelegd in technische reguleringsnormen van de Europese toezichthouders.

Belangrijk voor Nederlandse entiteiten: een ICT-incident kan tegelijk een datalek onder de AVG zijn, met een aparte melding bij de Autoriteit Persoonsgegevens. En voor entiteiten die ook onder NIS2 vallen, geldt DORA als lex specialis — waarover meer in de gids over de NIS2-omzetting. Eén incident, mogelijk meerdere meldroutes: richt uw incidentproces daarop in.

5. Hoe een DORA-onderzoek eruitziet

Een DORA-onderzoek door DNB of AFM verloopt in de praktijk zoals ander financieel toezicht:

  1. Informatieverzoek — de toezichthouder vraagt documentatie op (informatieregister, ICT-risicobeleid, incidentregistratie, testrapporten).
  2. Beoordeling — toetsing of de governance, maatregelen en registers voldoen.
  3. Eventueel onderzoek ter plaatse of nadere vragen.
  4. Terugkoppeling — bevindingen, met eventueel herstelmaatregelen of formele maatregelen.

De toezichthouder beschikt over het volledige instrumentarium: aanwijzingen, lasten onder dwangsom en, waar het wettelijk kader dat toelaat, financiële sancties. In deze eerste jaren ligt de nadruk in de praktijk op corrigerend toezicht en het aanjagen van herstel, maar dat verandert naarmate DORA volwassener wordt en de toezichthouders scherper op naleving gaan sturen. Proportionaliteit speelt een rol — kleinere entiteiten krijgen een lichter regime — maar de kernverplichtingen gelden voor iedereen die onder DORA valt.

In de praktijk zien we dat DNB en AFM in deze eerste fase van DORA-toezicht vooral toetsen op fundamenten: is de governance geregeld, klopt het informatieregister, en is de incidentclassificatie werkbaar? De toezichthouders begrijpen dat volledige volwassenheid tijd kost, maar ze verwachten wel dat de basis staat en dat de organisatie een geloofwaardig verbeterpad kan laten zien. Een entiteit die bij een uitvraag geen kloppend informatieregister kan leveren, of die geen bestuurlijk verankerd ICT-risicobeleid heeft, valt direct op. Belangrijk is ook de aandacht voor de toeleveringsketen: DORA verplicht tot contractuele waarborgen met ICT-dienstverleners, inclusief audit- en beëindigingsrechten. Voor kritieke ICT-derde-dienstverleners geldt bovendien een apart Europees toezichtkader, waarbij grote clouddiensten rechtstreeks onder toezicht van de Europese toezichthouders kunnen komen te staan. Dat ontslaat de financiële entiteit echter niet van haar eigen verantwoordelijkheid om het derde-partijrisico te beheersen.

6. Voorbereiding: waar begint u?

Een pragmatische aanpak voor een financiële entiteit:

  1. Bevestig uw scope — valt u onder DORA, en onder welke toezichthouder(s)?
  2. Zet het informatieregister op en houd het actueel — dit is de eerste toets.
  3. Formaliseer ICT-risicobeheer met bestuurlijke verankering.
  4. Richt incidentclassificatie en -rapportage in, geïntegreerd met de AVG-datalekroute.
  5. Plan weerbaarheidstesten, inclusief TLPT waar vereist.

Het gecombineerd beheren van het informatieregister, incidenten en contractuele waarborgen is bewerkelijk. Gespecialiseerde DORA-software voor de Nederlandse markt en compliance-platforms zoals Legiscope helpen om deze registers en processen samenhangend en actueel te houden, zodat u bij een uitvraag van DNB direct kunt leveren.

FAQ

Wie houdt in Nederland toezicht op DORA?

De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM). DNB doet het prudentiële toezicht (banken, verzekeraars, pensioenfondsen, betaalinstellingen) met de nadruk op ICT-risicobeheer en operationele weerbaarheid; de AFM doet het gedragstoezicht op onder meer beleggingsondernemingen en cryptoaanbieders. Veel entiteiten hebben met beide te maken.

Wat is het informatieregister onder DORA?

Het informatieregister is een gestructureerd overzicht van alle contractuele afspraken met ICT-derde-dienstverleners: welke functie is uitbesteed, of die kritiek is, welke entiteiten ervan afhankelijk zijn, en de contractvoorwaarden. DNB heeft dit register in 2025 als eerste grote nalevingstoets uitgevraagd. Een onvolledig register is een direct nalevingsrisico.

Sinds wanneer geldt DORA?

DORA is van toepassing sinds 17 januari 2025. Vanaf die datum verwachten DNB en AFM dat financiële entiteiten hun ICT-risicobeheer, incidentrapportage, weerbaarheidstesten en derde-partijmanagement aantoonbaar op orde hebben, met inachtneming van proportionaliteit voor kleinere entiteiten.

Moet ik een DORA-incident ook bij de AP melden?

Mogelijk wel. Een ernstig ICT-incident moet u onder DORA melden bij DNB of AFM. Als bij hetzelfde incident persoonsgegevens betrokken zijn, geldt daarnaast de AVG-datalekmelding bij de Autoriteit Persoonsgegevens binnen 72 uur. Richt uw incidentproces zo in dat beide meldroutes worden bediend.

Conclusie

Het DORA-toezicht in Nederland ligt bij DNB en AFM, met DNB als drijvende kracht achter de eerste grote toets: het informatieregister. De toezichthouders verwachten aantoonbaar ICT-risicobeheer, tijdige incidentrapportage en gedegen derde-partijmanagement, met bestuurlijke verankering. Begin bij een kloppend informatieregister en een geïntegreerd incidentproces — dan bent u voorbereid op een uitvraag of onderzoek, en voorkomt u dat DORA en AVG als twee losse administraties uit elkaar lopen.

Het is nuttig te beseffen dat DORA en het AVG-toezicht in Nederland weliswaar bij verschillende autoriteiten liggen — DNB en AFM voor DORA, de Autoriteit Persoonsgegevens voor de AVG — maar dat ze in de praktijk op dezelfde processen aangrijpen. De ICT-beveiliging die DORA vraagt, is grotendeels dezelfde beveiliging die artikel 32 AVG eist; het incidentproces dat DORA verlangt, moet ook de AVG-datalekmelding kunnen bedienen. Een financiële entiteit die deze regimes gescheiden inricht, doet dubbel werk en riskeert inconsistenties. De verstandige aanpak is één geïntegreerd raamwerk waarin beveiliging, incidenten, registers en leveranciersafspraken samenkomen, met per verplichting de juiste meldroute en toezichthouder eraan gekoppeld. Zo blijft compliance behapbaar, ook als het aantal regels toeneemt.

Zie ook: de DORA-verordening.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →