Leestijd: 8 minuten

Wat is de Digital Operational Resilience Act (DORA)?

De Digital Operational Resilience Act (DORA) is Verordening (EU) 2022/2554 en is sinds 17 januari 2025 volledig van toepassing. De verordening verplicht financiële instellingen en hun kritieke ICT-dienstverleners om hun weerbaarheid tegen cyberaanvallen en ICT-verstoringen systematisch op te bouwen en aantoonbaar te maken. Voor het eerst harmoniseert DORA de vereisten voor ICT-risicobeheer binnen de financiële sector in de hele EU en vervangt zij nationale kaders zoals BAIT, VAIT en KAIT als belangrijkste maatstaf.

De verordening is rechtstreeks van toepassing in alle EU-lidstaten, zonder dat omzetting in nationale wetgeving nodig is. In Duitsland fungeert BaFin als centraal meldpunt voor ICT-gerelateerde incidenten en voert het sinds 2025 actief bijzondere onderzoeken uit op grond van artikel 44 van de Duitse Bankenwet (KWG) om de implementatie van DORA te beoordelen.

DORA vormt een aanvulling op andere Europese cybersecuritykaders, zoals de NIS2-richtlijn en de Cyber Resilience Act, maar legt de nadruk op ICT-risicobeheer, weerbaarheidstesten en de veilige werking van digitale financiële diensten.

DORA is van toepassing op financiële instellingen en kritieke ICT-dienstverleners die digitale diensten leveren aan de financiële sector.

DORA is van toepassing op financiële instellingen en kritieke ICT-dienstverleners die digitale diensten leveren aan de financiële sector.

Al meer dan 15 jaar helpt Greenbone organisaties om het hoogst mogelijke beveiligingsniveau te bereiken. Met OPENVAS bieden wij toonaangevende kwetsbaarheidsdetectie in combinatie met volledige datasoevereiniteit. OPENVAS SECURITY INTELLIGENCE en OPENVAS SCAN ondersteunen financiële organisaties bij het voldoen aan de DORA-vereisten.

Welke organisaties vallen onder DORA?

DORA is van toepassing op meer dan 22.000 financiële instellingen en ICT-dienstverleners binnen de Europese Unie. De verordening volgt het evenredigheidsbeginsel: kleinere organisaties vallen onder een vereenvoudigd kader voor ICT-risicobeheer, terwijl grotere instellingen, zoals systeembanken en grote verzekeraars, aan strengere eisen moeten voldoen, waaronder verplichte Threat-Led Penetration Tests (TLPT’s).

Financiële instellingen

Kredietinstellingen, verzekeringsmaatschappijen, beleggingsondernemingen, betalingsdienstaanbieders, aanbieders van cryptodiensten en andere financiële marktpartijen die actief zijn binnen de Europese Unie.

Kritieke externe ICT-dienstverleners

Cloudproviders, datacenters, softwareleveranciers en andere ICT-dienstverleners die essentiële diensten leveren aan gereguleerde financiële instellingen.

Overige partijen in de toeleveringsketen

Organisaties die ICT-diensten, consultancy of technologische componenten leveren aan de financiële sector en deel uitmaken van de gereguleerde digitale toeleveringsketen.
DORA heeft betrekking op financiële instellingen zoals banken, verzekeraars en betalingsdienstaanbieders, evenals kritieke ICT-dienstverleners in de gehele digitale toeleveringsketen.

DORA heeft betrekking op financiële instellingen zoals banken, verzekeraars en betalingsdienstaanbieders, evenals kritieke ICT-dienstverleners in de gehele digitale toeleveringsketen.

De vijf pijlers van de DORA-vereisten

DORA verdeelt zijn vereisten over vijf kerngebieden. Financiële instellingen moeten aantonen dat zij aan alle vijf de pijlers voldoen. Hieronder worden de onderdelen benadrukt waarin vulnerability management een directe rol speelt.

DORA structureert digitale operationele weerbaarheid in vijf pijlers die samen een volledig kader voor ICT-risicobeheer vormen.

DORA structureert digitale operationele weerbaarheid in vijf pijlers die samen een volledig kader voor ICT-risicobeheer vormen.

Pijler 1 · Artikelen 5 t/m 16
ICT-risicobeheer
  • Volledige inventarisatie en classificatie van alle ICT-assets en afhankelijkheden
  • Regelmatige kwetsbaarheids- en dreigingsbeoordelingen (Artikel 9)
  • Implementatie van een uitgebreide ICT-beveiligingsstrategie met passende beschermingsmaatregelen
  • Ontwikkeling van incidentrespons- en herstelplannen voor ICT-gerelateerde verstoringen
  • Integratie van ICT-risicobeheer in de algemene ondernemingsgovernance
Pijler 2 · Artikelen 17 t/m 23
Beheer en rapportage van ICT-incidenten
  • Gestandaardiseerde processen voor het detecteren, classificeren en afhandelen van ICT-incidenten
  • Eerste melding van ernstige incidenten aan BaFin binnen vier uur na detectie
  • Tussentijds rapport binnen 72 uur en eindrapport binnen één maand
  • Bijhouden van een incidentregister met volledige documentatie van alle meldingsplichtige gebeurtenissen
Pijler 3 · Artikelen 24 t/m 27
Testen van digitale operationele weerbaarheid
  • Regelmatige vulnerability scans en netwerkgebaseerde beveiligingsbeoordelingen voor alle ICT-systemen
  • Scenario-gebaseerde tests om de paraatheid voor cyberaanvallen en systeemuitval te beoordelen
  • Voor significante instellingen: Threat-Led Penetration Tests (TLPT) ten minste eens per drie jaar volgens het TIBER-EU-framework
  • Volledige documentatie van testresultaten en verificatie van de oplossing van vastgestelde kwetsbaarheden
Pijler 4 · Artikelen 28 t/m 44
Risicobeheer van externe ICT-dienstverleners
  • Onderhouden van een volledig register van alle contractuele relaties met externe ICT-dienstverleners (Register of Information)
  • Continue monitoring van de beveiligingsstatus van kritieke externe ICT-dienstverleners, inclusief nieuwe CVE's die van invloed zijn op gebruikte componenten
  • Due-diligenceprocessen bij de selectie van nieuwe leveranciers, inclusief beveiligingseisen en beoordeling van concentratierisico's
  • Exitstrategieën voor contractbeëindiging of uitval van een dienstverlener
Pijler 5 · Artikelen 45 t/m 49
Informatie-uitwisseling
  • Vrijwillige deelname aan initiatieven voor het delen van informatie over cyberdreigingen en kwetsbaarheden
  • Uitwisseling van relevante dreigingsinformatie met andere financiële instellingen en bevoegde autoriteiten
  • Gebruik van gedeelde informatie om interne detectie- en responsmogelijkheden verder te verbeteren
Belangrijk: Vulnerability management speelt een centrale rol in meerdere DORA-pijlers. Continue identificatie, beoordeling en prioritering van kwetsbaarheden ondersteunt niet alleen ICT-risicobeheer, maar ook weerbaarheidstesten, incidentrespons en het toezicht op externe ICT-dienstverleners.

Tijdlijn en sancties

DORA is sinds 17 januari 2025 volledig van toepassing. BaFin controleert actief de implementatie van de verordening. Tegen het einde van 2025 waren al honderden ICT-incidenten gemeld en waren meerdere bijzondere onderzoeken gestart. Vanaf 2026 verwachten toezichthouders steeds vaker concrete, gegevensgestuurde bewijzen van operationele weerbaarheid in plaats van uitsluitend beleidsdocumentatie.

DORA is sinds januari 2025 volledig van toepassing. Toezichthouders vragen steeds vaker om aantoonbaar bewijs van digitale weerbaarheid.

DORA is sinds januari 2025 volledig van toepassing. Toezichthouders vragen steeds vaker om aantoonbaar bewijs van digitale weerbaarheid.

Januari 2023
DORA treedt in werking als EU-verordening. De tweejarige implementatieperiode begint.
Januari 2025
DORA wordt volledig van toepassing. Alle vereisten op het gebied van ICT-risicobeheer, incidentrapportage, weerbaarheidstesten en beheer van risico's bij externe ICT-dienstverleners moeten zijn geïmplementeerd.
Vanaf 2026
Toezichthouders verlangen aantoonbaar bewijs van operationele weerbaarheid. Het Register of Information moet beschikbaar zijn voor toezicht en controles. Voor significante instellingen lopen TLPT-testcycli.
Vanaf 2027
Het vereenvoudigde ICT-risicobeheerkader van artikel 16 wordt uitgebreid naar aanvullende categorieën organisaties, waaronder bepaalde financiële holdings.
Sancties bij niet-naleving: Organisaties die niet voldoen aan de vereisten kunnen boetes krijgen tot €10 miljoen of 5% van de wereldwijde jaaromzet. Voor kritieke externe ICT-dienstverleners kunnen sancties oplopen tot €5 miljoen of 2% van de wereldwijde jaaromzet. Daarnaast kunnen organisaties reputatieschade oplopen en geconfronteerd worden met operationele beperkingen die door toezichthouders worden opgelegd.

Hoe Greenbone DORA-compliance ondersteunt

Vulnerability management vormt de kern van DORA’s vereisten voor ICT-risicobeheer en weerbaarheidstesten. Greenbone ondersteunt rechtstreeks de artikelen 9, 10 en 28 met een bewezen ISO-gecertificeerde scaninfrastructuur en auditklare rapportages.

Continue scanning

OPENVAS SCAN identificeert kwetsbaarheden in netwerken, endpoints en cloudomgevingen. De Enterprise Feed wordt dagelijks bijgewerkt en bevat 200.000+ beveiligingstests met een van de meest uitgebreide CVE-dekkingen in de markt. Hiermee ondersteunt u rechtstreeks de naleving van de artikelen 9 en 10.

Risicogebaseerde prioritering

OPENVAS SECURITY INTELLIGENCE levert contextuele risicobeoordelingen op basis van CVSS-scores en actuele dreigingsinformatie. Hierdoor kan uw team zich eerst richten op de risico’s met de grootste impact. Daarnaast ondersteunt het de monitoring van ICT-componenten van derden in overeenstemming met artikel 28.

Auditklare documentatie

Alle scanresultaten, herstelmaatregelen en historische ontwikkelingen worden veilig opgeslagen en kunnen op elk moment worden geëxporteerd. Dit vormt een solide basis voor interne audits, verzoeken van BaFin en bijzondere onderzoeken op grond van §44 van de Duitse Bankenwet (KWG). Als ISO/IEC 27001:2022-gecertificeerd bedrijf met hoofdkantoor in Duitsland garanderen wij volledige datasoevereiniteit.
Doorlopend vulnerability management ondersteunt essentiële DORA-eisen, waaronder risicobeheer, weerbaarheidstesten en auditklare bewijsvoering.

Doorlopend vulnerability management ondersteunt essentiële DORA-eisen, waaronder risicobeheer, weerbaarheidstesten en auditklare bewijsvoering.

Veelgestelde vragen (FAQ) over de Digital Operational Resilience Act

De Digital Operational Resilience Act (DORA) is Verordening (EU) 2022/2554 en is sinds 17 januari 2025 volledig van toepassing. De verordening verplicht meer dan 22.000 financiële instellingen en kritieke ICT-dienstverleners binnen de Europese Unie om hun weerbaarheid tegen cyberaanvallen en ICT-verstoringen systematisch op te bouwen en aantoonbaar te maken. Hieronder vallen banken, verzekeraars, beleggingsondernemingen, betalingsdienstaanbieders, aanbieders van cryptodiensten en hun ICT-leveranciers.

Ja. DORA is expliciet van toepassing op kritieke externe ICT-dienstverleners en niet uitsluitend op financiële instellingen zelf. Als uw organisatie systemen, software of diensten levert aan banken, verzekeraars of beleggingsondernemingen, valt u waarschijnlijk binnen de reikwijdte van DORA. De aanwijzing als kritieke externe ICT-dienstverlener wordt vastgesteld door de bevoegde toezichthoudende autoriteiten.

Nee. DORA vereist voortdurende kwetsbaarheidsbeoordelingen en niet slechts periodieke controles. Threat-Led Penetration Tests (TLPT’s) vormen een aanvullende verplichting voor significante instellingen en moeten ten minste eens per drie jaar worden uitgevoerd volgens het TIBER-EU-framework. Zij vervangen echter niet het doorlopende vulnerability management dat nodig is om aan de basisvereisten van de artikelen 9 en 10 te voldoen.

De NIS2-richtlijn is een brede cybersecurityrichtlijn voor kritieke sectoren en moet in nationale wetgeving worden omgezet. DORA is een rechtstreeks toepasselijke verordening die uitsluitend gericht is op de financiële sector en veel gedetailleerdere eisen stelt aan ICT-risicobeheer, incidentrapportage, weerbaarheidstesten en toezicht op externe ICT-dienstverleners. Voor financiële organisaties die onder beide regelgevingen vallen, heeft DORA voorrang binnen zijn specifieke toepassingsgebied.

Toezichthouders kunnen boetes opleggen tot €10 miljoen of 5 procent van de wereldwijde jaaromzet. Voor kritieke externe ICT-dienstverleners bedraagt de maximale sanctie €5 miljoen of 2 procent van de wereldwijde jaaromzet. Daarnaast kunnen operationele beperkingen worden opgelegd en kan aanzienlijke reputatieschade ontstaan. BaFin voert sinds 2025 actief bijzondere onderzoeken uit.

De implementatie kan doorgaans binnen enkele uren worden voltooid. OPENVAS SCAN ondersteunt standaard netwerktopologieën, gesegmenteerde omgevingen en hybride cloudarchitecturen. Greenbone biedt zowel on-premises als cloudgebaseerde implementatiemodellen, waarbij volledige datasoevereiniteit en onafhankelijkheid van Amerikaanse cloudinfrastructuren gewaarborgd blijven.

De Cyber Resilience Act is van toepassing op fabrikanten, importeurs en distributeurs van digitale producten in uiteenlopende sectoren. DORA is daarentegen een sectorspecifieke verordening die uitsluitend gericht is op de financiële sector en betrekking heeft op het gebruik en het risicobeheer van ICT-systemen. Beide regelgevingen vullen elkaar aan: financiële organisaties die tevens digitale producten ontwikkelen of op de markt brengen, kunnen onder beide kaders vallen. → Meer informatie over de Cyber Resilience Act.

Is uw organisatie klaar voor DORA?

DORA is sinds januari 2025 van kracht en BaFin controleert actief de naleving van de vereisten. Neem vandaag nog contact op met onze experts en ontdek hoe OPENVAS SCAN en OPENVAS SECURITY INTELLIGENCE uw vulnerability management-programma kunnen versterken, zowel on-premises als in de cloud.