De Digital Operational Resilience Act – kortweg DORA – is in 2023 vastgesteld en vanaf januari 2025 wordt deze Europese wet ook in Nederland afdwingbaar. DORA draait om één ding: zorgen dat organisaties in de financiële sector (en hun IT-partners) bestand zijn tegen digitale verstoringen. Van cyberaanvallen tot systeemstoringen: je moet kunnen laten zien dat je het onder controle hebt.
De impact is groot, en het is belangrijk om op tijd te begrijpen wat er op je afkomt.
Wat is DORA precies?
DORA verplicht organisaties om hun digitale weerbaarheid aantoonbaar op orde te hebben. Het gaat dus niet alleen om het treffen van technische maatregelen, maar ook om het structureel inrichten van processen en verantwoordelijkheden rondom risico’s, incidenten en IT-leveranciers.
De Europese Unie wil hiermee een gelijk speelveld creëren en de stabiliteit van de financiële sector vergroten. En dat is hard nodig, nu technologie zo verweven is met de dagelijkse dienstverlening.
Voor wie geldt DORA?
De wet is van toepassing op een breed scala aan organisaties, zoals:
Banken, verzekeraars, pensioenfondsen
Vermogensbeheerders, betaaldienstverleners
En ook op IT-leveranciers die als ‘kritiek’ worden gezien voor deze organisaties
Werk je in of met de financiële sector? Dan is de kans groot dat je met DORA te maken krijgt – direct of indirect.
De kern van DORA: vijf belangrijke thema’s
Beheer van IT-risico’s
Organisaties moeten structureel hun risico’s rond IT en data in kaart brengen, beheersen en verbeteren.
Incidentmelding
Ernstige digitale incidenten moeten binnen korte tijd worden gemeld bij de toezichthouders. Duidelijkheid en snelheid zijn daarbij essentieel.
Testen van systemen en processen
Organisaties moeten hun digitale weerbaarheid regelmatig toetsen, bijvoorbeeld via scenario’s, stress-tests of ethische hacks.
Regels voor uitbesteding
Werk je met IT-partijen? Dan moet je kunnen aantonen dat zij voldoen aan de regels. Ook de contracten en monitoring vallen onder de wet.
Samenwerking en informatie-uitwisseling
Organisaties mogen – onder voorwaarden – informatie delen over digitale dreigingen om elkaar te versterken.
Waarom dit nú belangrijk is
De deadline van januari 2025 lijkt misschien nog ver weg, maar de voorbereidingen vragen tijd. DORA is geen checklist die je in een paar weken afvinkt. Het vraagt om inzicht, structuur en samenwerking binnen je organisatie – én met je leveranciers.
Veel organisaties zijn al bezig met het inventariseren van risico’s, herzien van IT-contracten, opzetten van meldprocedures en het trainen van medewerkers. Wie nu start, voorkomt dat het straks paniekvoetbal wordt.
Nederlandse situatie: toezicht en verwachtingen
In Nederland houden De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) toezicht op de naleving van DORA. Ze verwachten dat organisaties tijdig hun aanpak op orde hebben. Geen reactieve houding, maar een planmatige aanpak waarbij je kunt aantonen dat je ‘in control’ bent.
Zo zet je de eerste stappen
Wat kun je nu al doen?
Breng je IT-landschap en afhankelijkheden in kaart
Stel verantwoordelijkheden en processen scherp
Zorg dat je incidenten snel kunt melden en opvolgen
Check je leveranciers en de contractuele afspraken die je met hen hebt
Bouw aan een cultuur van continue verbetering en bewustzijn
Een goed overzicht van je processen, risico’s en afhankelijkheden helpt hierbij enorm – het vormt de basis voor controle, toetsing en verbetering.
Tot slot: zie DORA als kans
DORA vraagt inspanning, maar biedt ook kansen. Organisaties die het goed aanpakken, versterken niet alleen hun digitale weerbaarheid, maar vergroten ook hun wendbaarheid, transparantie en betrouwbaarheid. Het gaat dus niet alleen om voldoen aan de regels – het gaat om toekomstbestendig organiseren.