De DORA-verordening (Digital Operational Resilience Act) verplicht de Europese financiële sector om digitaal weerbaar te zijn tegen ICT-verstoringen en cyberdreigingen. DORA is van toepassing sinds 17 januari 2025 en geldt als rechtstreeks werkende verordening (Verordening 2022/2554) — geen nationale omzetting nodig. De verordening rust op vijf pijlers: ICT-risicobeheer, incidentrapportage, weerbaarheidstesten, beheer van derde-partijrisico en informatie-uitwisseling. In Nederland houden DNB en AFM toezicht. Dit artikel legt uit wie onder DORA valt — banken, maar ook verzekeraars, beleggingsondernemingen en crypto-aanbieders — en hoe de proportionaliteit voor kleinere entiteiten werkt.
Key Takeaways
- DORA is van toepassing sinds 17 januari 2025, als rechtstreeks werkende EU-verordening.
- De verordening kent vijf pijlers: ICT-risicobeheer, incidentrapportage, weerbaarheidstesten, derde-partijrisico en informatie-uitwisseling.
- In scope: banken, verzekeraars, beleggingsondernemingen, betaaldienstverleners, crypto-aanbieders en meer — niet alleen banken.
- In Nederland houden DNB en AFM toezicht.
- Voor financiële entiteiten gaat DORA als lex specialis vóór NIS2.
Waarom DORA er is
De financiële sector draait op ICT en op een web van externe leveranciers — clouddiensten, datacenters, softwarepartijen. Een verstoring bij één kritieke leverancier kan doorwerken door het hele stelsel. DORA harmoniseert daarom de eisen aan digitale weerbaarheid voor de hele EU-financiële sector, zodat één set regels geldt in plaats van uiteenlopende nationale kaders. De verordening intersecteert met NIS2, maar gaat voor financiële entiteiten vóór als specifiekere regeling.
De vijf pijlers van DORA
| Pijler | Kern | Wat het van u vraagt |
|---|---|---|
| 1. ICT-risicobeheer | Governance en beheersing | Raamwerk, beleid, bestuursverantwoordelijkheid |
| 2. Incidentrapportage | Melden van ICT-incidenten | Classificatie en melding aan de toezichthouder |
| 3. Weerbaarheidstesten | Testen van systemen | Periodiek testen, TLPT voor de grootste entiteiten |
| 4. Derde-partijrisico | Beheer van ICT-leveranciers | Contractuele eisen, register, exitstrategie |
| 5. Informatie-uitwisseling | Delen van dreigingsinformatie | Vrijwillige uitwisseling van cyberdreigingen |
Pijler 1: ICT-risicobeheer
De basis. U moet een raamwerk voor ICT-risicobeheer opzetten, met beleid, procedures en een duidelijke rol voor het leidinggevend orgaan. Het bestuur is eindverantwoordelijk en moet de kennis hebben om die rol te vervullen — vergelijkbaar met de bestuursverplichting onder NIS2. De beveiligingsmaatregelen sluiten aan op artikel 32 AVG waar persoonsgegevens in het spel zijn.
Pijler 2: incidentrapportage
DORA vereist dat u ICT-gerelateerde incidenten classificeert en de ernstige incidenten meldt aan uw toezichthouder (in Nederland DNB of AFM). De rapportagestromen en termijnen zijn uitgewerkt in technische standaarden van de Europese toezichthouders.
Pijler 3: weerbaarheidstesten
U test uw ICT-systemen periodiek. De grootste en meest systeemkritische entiteiten moeten daarnaast Threat-Led Penetration Testing (TLPT) uitvoeren — geavanceerde, op reële dreigingen gebaseerde tests. Voor kleinere entiteiten geldt een lichter testregime.
Pijler 4: derde-partijrisico
Misschien wel de meest ingrijpende pijler. U moet uw ICT-leveranciers actief beheren: een register van alle contracten bijhouden, contractuele eisen stellen, concentratierisico’s bewaken en exitstrategieën voorbereiden. Kritieke derde-dienstverleners (zoals grote cloudpartijen) komen bovendien onder direct Europees toezicht. Dit sluit aan op het denken achter de verwerkersovereenkomst onder artikel 28 AVG.
Pijler 5: informatie-uitwisseling
DORA moedigt financiële entiteiten aan om onderling dreigingsinformatie te delen. Dit is grotendeels vrijwillig, maar draagt bij aan de collectieve weerbaarheid van de sector.
Wie onder DORA valt
DORA gaat veel verder dan banken. In scope vallen onder meer:
- Kredietinstellingen (banken)
- Betaaldienstverleners en elektronischgeldinstellingen
- Beleggingsondernemingen en beheerders van beleggingsinstellingen
- Verzekerings- en herverzekeringsondernemingen
- Aanbieders van cryptoactivadiensten
- Handelsplatformen en centrale tegenpartijen
- Aanbieders van crowdfundingdiensten
Voor de financiële sector specifiek beschrijven we de bredere AVG-context in de AVG voor banken en verzekeraars.
Het toezicht in Nederland
In Nederland houden De Nederlandsche Bank (DNB) en de AFM toezicht op de naleving van DORA, elk voor de instellingen die onder hun mandaat vallen. In 2025 hebben de toezichthouders bij financiële entiteiten het zogenoemde informatieregister opgevraagd: een gestructureerd overzicht van alle contractuele afspraken met ICT-derde-dienstverleners. Dat register is niet alleen een administratieve verplichting, maar het instrument waarmee de toezichthouder concentratierisico’s in de sector in kaart brengt — bijvoorbeeld de mate waarin veel instellingen van dezelfde grote cloudpartij afhankelijk zijn. Wie zijn leverancierscontracten niet op orde heeft, valt bij die uitvraag meteen door de mand. De precieze verdeling en werkwijze van beide toezichthouders bespreken we in DORA-toezicht door DNB en AFM.
Proportionaliteit voor kleinere entiteiten
DORA is niet one-size-fits-all. De verordening kent een proportionaliteitsbeginsel: de zwaarte van de eisen hangt af van de omvang, het risicoprofiel en het systeembelang van de entiteit. Kleine en niet-complexe entiteiten mogen een vereenvoudigd ICT-risicobeheerkader hanteren en zijn vrijgesteld van de zwaarste testverplichtingen zoals TLPT. Dat neemt de kernverplichtingen niet weg, maar schaalt ze naar rato.
DORA versus NIS2
Voor financiële entiteiten is de verhouding met NIS2 cruciaal: DORA gaat als lex specialis vóór NIS2. Een groep met gemengde activiteiten kan echter met beide te maken krijgen. De precieze afbakening bespreken we in DORA vs NIS2: welke regels gelden voor wie, en het Nederlandse toezicht in DORA-toezicht door DNB en AFM.
Software en documentatie
DORA-conformiteit vraagt om aantoonbaarheid: een ICT-risicoregister, een leverancierscontractenregister, incidentclassificatie en testdocumentatie. Gespecialiseerde tooling helpt dat gestructureerd bij te houden. Voor de overlap met de AVG — beveiligingsdocumentatie en governance — kan een platform zoals Legiscope de gedeelde laag afdekken; de operationele ICT-monitoring blijft een aparte discipline. Een overzicht van DORA-tooling staat in DORA compliance software voor Nederland.
Begin bij het leveranciersregister
Van de vijf pijlers vraagt het beheer van derde-partijrisico in de praktijk de meeste voorbereiding, en het is meteen het onderdeel waar de toezichthouder als eerste naar vraagt. Breng daarom vroeg in kaart welke ICT-diensten u afneemt, van wie, hoe kritiek die zijn en wat er gebeurt als een leverancier uitvalt. Dat register is niet alleen een DORA-verplichting: het legt vaak verborgen concentratierisico’s bloot — bijvoorbeeld dat uw hele bedrijfsvoering leunt op één cloudprovider zonder realistische uitwijkmogelijkheid. Vul het register aan met contractuele eisen over beveiliging, auditrechten, meldplichten bij incidenten en een exitstrategie. Wie hier begint, legt de basis onder de andere vier pijlers, want risicobeheer, incidentrapportage en weerbaarheidstesten steunen allemaal op een helder beeld van de ketenafhankelijkheden.
FAQ
Sinds wanneer geldt DORA?
DORA is van toepassing sinds 17 januari 2025. Als EU-verordening werkt zij rechtstreeks door in alle lidstaten, zonder nationale omzettingswet. Financiële entiteiten moesten vanaf die datum aan de vijf pijlers voldoen.
Wie valt er onder DORA?
Een brede groep financiële entiteiten: banken, betaaldienstverleners, beleggingsondernemingen, verzekeraars, aanbieders van cryptoactivadiensten, handelsplatformen en meer. Daarnaast komen kritieke ICT-dienstverleners van de sector onder direct Europees toezicht. Het is dus nadrukkelijk niet alleen een bankenregeling.
Wat zijn de vijf pijlers van DORA?
ICT-risicobeheer, incidentrapportage, weerbaarheidstesten (inclusief TLPT voor de grootste entiteiten), beheer van derde-partij-ICT-risico en informatie-uitwisseling over cyberdreigingen. Samen vormen ze een integraal kader voor digitale operationele weerbaarheid.
Geldt DORA ook voor kleine financiële entiteiten?
Ja, maar proportioneel. DORA kent een vereenvoudigd ICT-risicobeheerkader voor kleine en niet-complexe entiteiten, en stelt hen vrij van de zwaarste testverplichtingen zoals TLPT. De kernverplichtingen blijven gelden, geschaald naar omvang en risicoprofiel.
Wat is het verschil tussen DORA en NIS2?
Beide gaan over digitale weerbaarheid, maar DORA is specifiek voor de financiële sector en gaat daar als lex specialis vóór NIS2. NIS2 heeft een bredere sectorale reikwijdte. Een groep met gemengde activiteiten kan met beide regimes te maken krijgen.
Conclusie
DORA maakt digitale weerbaarheid tot een harde, EU-brede verplichting voor de financiële sector, van toepassing sinds 17 januari 2025. De vijf pijlers — ICT-risicobeheer, incidentrapportage, weerbaarheidstesten, derde-partijrisico en informatie-uitwisseling — vormen samen een integraal kader waarin het bestuur eindverantwoordelijk is. De reikwijdte is breed (niet alleen banken) maar proportioneel geschaald. Voor financiële entiteiten gaat DORA vóór NIS2; bepaal daarom vroeg welk regime op welk onderdeel geldt, en beheer de overlap met de AVG in één governance-aanpak.
Zie ook: de AI Act uitgelegd.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial