Een Leider in het 2025 Gartner® Magic Quadrant™ voor Endpoint Protection Platforms. Vijf jaar op rij.Een Leider in het Gartner® Magic Quadrant™Lees Rapport
Ervaart u een beveiligingslek?Blog
Aan de slagContact Opnemen
Header Navigation - NL
  • Platform
    Platform Overzicht
    • Singularity Platform
      Welkom bij de geïntegreerde bedrijfsbeveiliging
    • AI voor beveiliging
      Toonaangevend in AI-Powered beveiligingsoplossingen
    • Beveiliging van AI
      Versnel de adoptie van AI met veilige AI-tools, applicaties en agents.
    • Hoe het werkt
      Het Singularity XDR verschil
    • Singularity Marketplace
      Integraties met één klik om de kracht van XDR te ontsluiten
    • Prijzen en Pakketten
      Vergelijkingen en richtlijnen in één oogopslag
    Data & AI
    • Purple AI
      SecOps versnellen met generatieve AI
    • Singularity Hyperautomation
      Eenvoudig beveiligingsprocessen automatiseren
    • AI-SIEM
      De AI SIEM voor het Autonome SOC
    • AI Data Pipelines
      Beveiligingsdatapijplijn voor AI SIEM en data-optimalisatie
    • Singularity Data Lake
      Aangedreven door AI, verenigd door Data Lake
    • Singularity Data Lake For Log Analytics
      Naadloze opname van gegevens uit on-prem, cloud of hybride omgevingen
    Endpoint Security
    • Singularity Endpoint
      Autonome preventie, detectie en respons
    • Singularity XDR
      Inheemse en open bescherming, detectie en respons
    • Singularity RemoteOps Forensics
      Forensisch onderzoek op schaal orkestreren
    • Singularity Threat Intelligence
      Uitgebreide informatie over tegenstanders
    • Singularity Vulnerability Management
      Rogue Activa Ontdekken
    • Singularity Identity
      Bedreigingsdetectie en -respons voor Identiteit
    Cloud Security
    • Singularity Cloud Security
      Blokkeer aanvallen met een AI-gebaseerde CNAPP
    • Singularity Cloud Native Security
      Cloud en ontwikkelingsbronnen beveiligen
    • Singularity Cloud Workload Security
      Platform voor realtime bescherming van de cloudwerklast
    • Singularity Cloud Data Security
      AI-gestuurde detectie van bedreigingen
    • Singularity Cloud Security Posture Management
      Cloud misconfiguraties opsporen en herstellen
    AI Beveiligen
    • Prompt Security
      AI-tools in de hele organisatie beveiligen
  • Waarom SentinelOne?
    Waarom SentinelOne?
    • Waarom SentinelOne?
      Cybersecurity Ontworpen voor What’s Next
    • Onze Klanten
      Vertrouwd door 's Werelds Meest Toonaangevende Ondernemingen
    • Industrie Erkenning
      Getest en Gevalideerd door Experts
    • Over Ons
      De Marktleider in Autonome Cybersecurity
    Vergelijk SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Markten
    • Energie
    • Overheid
    • Financieel
    • Zorg
    • Hoger Onderwijs
    • Basis Onderwijs
    • Manufacturing
    • Retail
    • Rijksoverheid & lokale overheden
  • Services
    Managed Services
    • Managed Services Overzicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Wereldklasse expertise en Threat Intelligence.
    • Managed Detection & Response
      24/7/365 deskundige MDR voor uw volledige omgeving.
    • Incident Readiness & Response
      DFIR, paraatheid bij inbreuken & compromitteringsbeoordelingen.
    Support, Implementatie & Health
    • Technical Account Management
      Customer Success met Maatwerk Service
    • SentinelOne GO
      Begeleid Onboarden en Implementatieadvies
    • SentinelOne University
      Live en On-Demand Training
    • Services Overview
      Allesomvattende oplossingen voor naadloze beveiligingsoperaties
    • SentinelOne Community
      Community Login
  • Partners
    Ons Ecosysteem
    • MSSP Partners
      Versneld Succes behalen met SentinelOne
    • Singularity Marketplace
      Vergroot de Power van S1 Technologie
    • Cyber Risk Partners
      Schakel de Pro Response en Advisory Teams in
    • Technology Alliances
      Geïntegreerde, Enterprise-Scale Solutions
    • SentinelOne for AWS
      Gehost in AWS-regio's over de hele wereld
    • Channel Partners
      Lever de juiste oplossingen, Samen
    • SentinelOne for Google Cloud
      Geünificeerde, autonome beveiliging die verdedigers een voordeel biedt op wereldwijde schaal.
    Programma Overzicht→
  • Resources
    Resource Center
    • Case Studies
    • Datasheets
    • eBooks
    • Webinars
    • White Papers
    • Events
    Bekijk alle Resources→
    Blog
    • In de Spotlight
    • Voor CISO/CIO
    • Van de Front Lines
    • Cyber Response
    • Identity
    • Cloud
    • macOS
    SentinelOne Blog→
    Tech Resources
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Bedrijf
    Over SentinelOne
    • Over SentinelOne
      De Marktleider in Cybersecurity
    • Labs
      Threat Onderzoek voor de Moderne Threat Hunter
    • Vacatures
      De Nieuwste Vacatures
    • Pers & Nieuws
      Bedrijfsaankondigingen
    • Cybersecurity Blog
      De Laatste Cybersecuritybedreigingen, Nieuws en Meer
    • FAQ
      Krijg Antwoord op de Meest Gestelde Vragen
    • DataSet
      Het Live Data Platform
    • S Foundation
      Zorgen voor een veiligere toekomst voor iedereen
    • S Ventures
      Investeren in Next Generation Security en Data
Aan de slagContact Opnemen
Background image for Wat is de DORA-verordening? EU-kader voor digitale weerbaarheid
Cybersecurity 101/Cyberbeveiliging/DORA-verordening

Wat is de DORA-verordening? EU-kader voor digitale weerbaarheid

De DORA-verordening verplicht digitale operationele weerbaarheid voor financiële entiteiten in de EU. Leer de vijf pijlers, nalevingstermijnen, sancties en best practices voor implementatie.

CS-101_Cybersecurity.svg
Inhoud
Wat is de DORA-verordening?
Waarom DORA belangrijk is voor financiële instellingen
Wie moet voldoen aan DORA?
DORA-cybersecurity-eisen
Hoe DORA werkt
ICT-risicobeheer onder DORA
Incidentrapportageverplichtingen onder DORA
DORA-sancties en handhaving
Uitdagingen bij de implementatie van DORA
DORA-best practices
DORA-compliancetijdlijn en belangrijke deadlines
DORA en gerelateerde EU-regelgeving
Belangrijkste punten

Gerelateerde Artikelen

  • CMMC-checklist: Auditvoorbereidingsgids voor DoD-aannemers
  • Wat is Session Fixation? Hoe aanvallers gebruikerssessies kapen
  • Ethical Hacker: Methoden, Tools & Carrièrepad Gids
  • Wat zijn adversariële aanvallen? Dreigingen & verdedigingen
Auteur: SentinelOne | Recensent: Arijeet Ghatak
Bijgewerkt: April 30, 2026

Wat is de DORA-verordening?

Financiële instellingen in de EU worden geconfronteerd met een verplichte compliance-structuur die op 17 januari 2025 van kracht werd, met boetes tot EUR 5-10 miljoen of 5-10% van de jaarlijkse omzet bij niet-naleving. De Digital Operational Resilience Act (DORA), officieel Verordening (EU) 2022/2554, stelt uniforme eisen aan ICT-risicobeheer voor financiële entiteiten in de EU. Volgens de officiële regelgeving verplicht DORA financiële entiteiten om een hoog gemeenschappelijk niveau van digitale operationele weerbaarheid te bereiken, wat betekent dat u het vermogen moet aantonen om verstoringen met betrekking tot informatie- en communicatietechnologieën te weerstaan, erop te reageren en ervan te herstellen.

DORA is van toepassing op financiële entiteiten zoals kredietinstellingen, betaaldienstverleners, beleggingsondernemingen, aanbieders van cryptodiensten, verzekeringsmaatschappijen en ICT-dienstverleners van derden. Als u actief bent in de EU-financiële sector, valt uw beveiligingsoperatie waarschijnlijk onder DORA.

Uit sectoronderzoek blijkt dat slechts een klein deel van de financiële instellingen volledige naleving rapporteert van de eisen voor ICT-derdenrisicobeheer [TKTK - bron nodig], een van de gebieden met de laagste naleving binnen alle DORA-pijlers. De deadline voor rapportage over derden is 30 april 2025, wat actie vereist als u deze lacunes nog niet heeft aangepakt.

Begrijpen waarom deze regelgeving bestaat, helpt de reikwijdte van de eisen te plaatsen.

Waarom DORA belangrijk is voor financiële instellingen

DORA stelt geharmoniseerde eisen aan digitale operationele weerbaarheid in de gehele EU-financiële sector, waarmee fragmentatie wordt geëlimineerd die eerder leidde tot complexe compliance en beveiligingslacunes. Recente cyberaanvallen op financiële instellingen tonen precies aan waarom deze regelgeving noodzakelijk is.

In 2016 maakten aanvallers misbruik van SWIFT-berichtensystemen om $81 miljoen te stelen van Bangladesh Bank, waarmee kritieke zwaktes in het ICT-risicobeheer van derden werden blootgelegd die DORA nu adresseert. Het datalek bij Capital One in 2019, waarbij meer dan 100 miljoen klantgegevens werden gecompromitteerd via een verkeerd geconfigureerde cloudomgeving, onderstreepte de noodzaak van uniforme ICT-risicokaders voor hybride infrastructuren. In 2018 gebruikten aanvallers destructieve malware om medewerkers van Banco de Chile af te leiden, terwijl ze tegelijkertijd $10 miljoen stalen via frauduleuze SWIFT-transacties, waarmee werd aangetoond hoe operationele verstoringen financiële diefstal kunnen maskeren.

  • Systemisch risicoreductie: Door uniforme ICT-risicobeheerstandaarden te verplichten, verkleint DORA de kans dat operationele storingen bij één instelling zich verspreiden door het financiële systeem. Deze uniforme aanpak zorgt ervoor dat financiële entiteiten ICT-verstoringen kunnen weerstaan, erop kunnen reageren en ervan kunnen herstellen.
  • Transparantie van derdenrisico's: Het kritieke toezichtskader voor derden pakt concentratierisico aan dat ontstaat wanneer de financiële sector afhankelijk is van een beperkt aantal ICT-leveranciers. Volgens het  EIOPA-toezichtskader leggen artikelen 31-44 direct toezicht op kritieke ICT-dienstverleners van derden (CTPP's) vast, voor het eerst op deze schaal binnen de EU.
  • Standaardisatie van incidentrespons: De meldplicht binnen 4 uur zorgt voor consistentie in de afhandeling van beveiligingsincidenten door financiële entiteiten. Wanneer grote ICT-gerelateerde incidenten systemisch potentieel hebben, coördineren autoriteiten de respons via het European Systemic Cyber Incident Coordination Framework (EU-SCICF).
  • Versterking van klantbescherming: DORA vereist dat financiële entiteiten grote ICT-gerelateerde incidenten en significante cyberdreigingen melden aan bevoegde autoriteiten, terwijl een eventuele verplichting om klanten te informeren voortvloeit uit andere sectorale wetten zoals de AVG of PSD2, en niet uit DORA zelf.

Deze voordelen gelden breed in de financiële sector, maar de eerste stap is bepalen of uw organisatie onder DORA valt.

Wie moet voldoen aan DORA?

DORA is van toepassing op 21 categorieën financiële entiteiten die actief zijn binnen de EU, waarmee het een van de breedste reikwijdtes heeft op het gebied van cybersecurity in de financiële dienstverlening. Artikel 2 bevat de volledige lijst van betrokken entiteiten.

Traditionele financiële instellingen vormen de kern: kredietinstellingen, betaalinstellingen, instellingen voor elektronisch geld, beleggingsondernemingen en centrale effectenbewaarinstellingen. Verzekerings- en herverzekeringsmaatschappijen, verzekeringsbemiddelaars en instellingen voor bedrijfspensioenvoorziening vallen onder de DORA-eisen. De regelgeving geldt ook voor aanbieders van cryptodiensten, crowdfundingdienstverleners en securitisatieregisterhouders.

Marktinfrastructuurpartijen zoals handelsplatformen, transactieregisters, centrale tegenpartijen en aanbieders van datarapportagediensten moeten voldoen. Kredietbeoordelaars, beheerders van kritieke benchmarks en aanbieders van rekeninginformatiediensten maken de lijst van financiële entiteiten compleet.

ICT-dienstverleners van derden vallen onder DORA wanneer zij diensten leveren aan EU-financiële entiteiten, ongeacht waar de leverancier is gevestigd. Niet-EU-technologiebedrijven die cloud-, software- of managed services leveren aan EU-banken moeten voldoen aan de contractuele eisen van DORA. De ESAs wijzen bepaalde leveranciers aan als Kritieke Derden (CTPP's) op basis van systemisch belang, waardoor zij onder direct toezicht vallen.

Het proportionaliteitsbeginsel in artikel 4 stelt kleinere entiteiten in staat om eisen toe te passen in verhouding tot hun omvang, risicoprofiel en complexiteit. Micro-ondernemingen komen in aanmerking voor vereenvoudigde ICT-risicobeheerstructuren onder artikel 16(3), maar blijven onderworpen aan meldings- en toezichtverplichtingen voor derden.

Als u heeft vastgesteld dat DORA op uw organisatie van toepassing is, is de volgende vraag welke specifieke beveiligingsverplichtingen u heeft.

DORA-cybersecurity-eisen

DORA richt zich specifiek op de beveiliging van netwerk- en informatiesystemen die bedrijfsprocessen in de financiële sector ondersteunen. ICT-gerelateerde verstoringen en cyberdreigingen vormen aanzienlijke risico's voor financiële stabiliteit, operationele continuïteit en klantbescherming.

Artikel 15 stelt expliciete cybersecurity-eisen: u moet afwijkend gedrag monitoren in netwerkgebruikspatronen, tijdstippen, IT-activiteiten en onbekende apparaten. Volgens de officiële regelgeving moeten financiële entiteiten monitoring van afwijkend gedrag in relatie tot ICT-risico implementeren via passende indicatoren.

De meldingsvereisten voor incidenten gaan verder dan traditionele cybersecurity-kaders. Artikelen 19 en 20 vereisen dat u dreigingsactor-attributie opneemt in uw incident- en dreigingsrapportages. U moet incidenten binnen 4 uur classificeren als groot of niet-groot en vervolgens een eerste melding doen aan uw nationale bevoegde autoriteit.

DORA fungeert als lex specialis voor de financiële sector en heeft voorrang op NIS2. Hoewel ISO 27001 een basis biedt, breidt DORA de eisen uit met verplichte dreigingsactor-attributie, klantmeldingsverplichtingen en toezichtmechanismen voor derden die systemisch concentratierisico adresseren.

Deze cybersecurity-eisen maken deel uit van DORA's bredere regelgevingsstructuur, die verplichtingen organiseert in vijf afzonderlijke pijlers.

Hoe DORA werkt

DORA werkt via verplichte technische eisen die worden gehandhaafd door nationale bevoegde autoriteiten, gecoördineerd door de Europese toezichthoudende autoriteiten.

Uw ICT-risicobeheerraamwerk vereist strategieën, beleidsmaatregelen en procedures. Uw bestuursorgaan draagt de uiteindelijke verantwoordelijkheid voor toezicht op ICT-risico, zoals vastgelegd in de DORA-regelgeving, volgens het  reguleringsrapport van Citi.

Wanneer zich een incident voordoet, classificeert u incidenten direct na identificatie aan de hand van vooraf gedefinieerde criteria. Voor grote incidenten doet u binnen 4 uur na classificatie een eerste melding aan uw nationale bevoegde autoriteit, gevolgd door opeenvolgende meldingen naarmate de situatie zich ontwikkelt.

Het weerbaarheidstestprogramma werkt op vastgestelde cycli. Voor de meeste entiteiten voert u regelmatige beoordelingen en scenario-gebaseerde tests uit die passen bij uw risicoprofiel. Als toezichthouders uw instelling als significant aanmerken, voert u minimaal elke 3 jaar TLPT uit. Na afronding van de test documenteert u samenvattende bevindingen en herstelplannen met tijdlijnen.

Toezicht op derden vindt plaats via contractuele eisen en regulatoire aanwijzing. Voordat u ICT-dienstverleners inschakelt, verifieert u dat zij voldoen aan de informatiebeveiligingsnormen van DORA. Volgens  artikel 30 moeten uw contracten het volgende bevatten:

  • Service level agreements met prestatie-indicatoren
  • Beveiligingsnormen en compliance-eisen
  • Auditrechten en toegangsvoorzieningen
  • Exitstrategieën en transitieplanning

De ESAs wijzen bepaalde leveranciers aan als kritieke derden (CTPP's) op basis van systemisch belang. Deze CTPP's vallen onder direct toezicht, ongeacht hun vestigingsplaats.

Twee van DORA's vijf pijlers zijn het meest operationeel relevant voor securityteams: ICT-risicobeheer en incidentrapportage.

ICT-risicobeheer onder DORA

ICT-risicobeheer vormt de basis van het DORA-regelgevingskader. Artikel 6 vereist dat financiële entiteiten ICT-risicobeheerraamwerken opzetten als integraal onderdeel van hun  risicobeheersysteem, met directe verantwoordelijkheid bij het bestuursorgaan.

Uw bestuursorgaan moet ICT-risicobeheerregelingen definiëren, goedkeuren, toezicht houden en verantwoordelijk zijn. Dit omvat het vaststellen van risicotolerantieniveaus, goedkeuren van ICT-businesscontinuïteitsbeleid en het toewijzen van voldoende budget voor digitale operationele weerbaarheid. DORA maakt duidelijk dat ICT-risico een verantwoordelijkheid op bestuursniveau is, niet alleen een IT-aangelegenheid.

Artikel 8 verplicht identificatie van alle bronnen van ICT-risico, inclusief risico's door afhankelijkheden van derden. U moet een volledige inventaris van ICT-assets bijhouden, onderlinge afhankelijkheden tussen systemen in kaart brengen en alle door ICT ondersteunde bedrijfsfuncties documenteren. Deze mapping brengt concentratierisico's en single points of failure aan het licht die kritieke financiële diensten kunnen verstoren.

Beschermings- en preventie-eisen onder artikel 9 bepalen dat financiële entiteiten ICT-beveiligingsbeleid moeten implementeren op verschillende domeinen:

  • Informatiebeveiliging voor data in transit en in rust
  • Netwerkbeveiliging en segmentatie
  • Toegangsbeheer en authenticatiemechanismen
  • Patch- en updatebeheerprocedures
  • Fysieke en omgevingsbeveiliging van ICT-assets

Deze maatregelen moeten als een geïntegreerd systeem functioneren, niet als losstaande maatregelen.

Detectiecapaciteiten zijn even cruciaal. Artikel 10 vereist mechanismen om afwijkende activiteiten snel te detecteren, waaronder netwerkprestaties en ICT-gerelateerde incidenten. Uw detectie-infrastructuur moet afwijkend gedrag monitoren via passende indicatoren en meerdere controlelagen mogelijk maken.

Respons- en herstelprocedures onder artikelen 11 en 12 maken het raamwerk compleet. U moet ICT-businesscontinuïteitsbeleid, disaster recovery-plannen en back-upprocedures implementeren. Deze moeten regelmatig worden getest en bijgewerkt op basis van lessen uit verstoringen, weerbaarheidstests en auditbevindingen.

Het voldoen aan deze ICT-risicobeheervereisten vormt de basis voor de even veeleisende incidentrapportageverplichtingen van DORA.

Incidentrapportageverplichtingen onder DORA

DORA introduceert een gestructureerd, tijdgebonden incidentrapportagekader dat verder gaat dan wat de meeste financiële entiteiten tot nu toe hebben geïmplementeerd. Artikelen 17 tot en met 23 definiëren classificatiecriteria, rapportagetijdlijnen en meldingsverplichtingen voor ICT-gerelateerde incidenten.

U moet elk ICT-gerelateerd incident eerst classificeren volgens de criteria in artikel 18. Classificatiefactoren zijn onder meer het aantal getroffen cliënten, de duur en geografische spreiding van het incident, betrokken dataverlies, de kriticiteit van getroffen diensten en de economische impact. Op basis van deze beoordeling bepaalt u of het incident als "groot" kwalificeert onder de DORA-drempels.

Voor grote incidenten is de rapportagetijdlijn strikt:

  • Eerste melding: Binnen 4 uur na classificatie van het incident
  • Tussenrapport: Binnen 72 uur na de eerste melding, met voortgangsupdates, voorlopige root cause-analyse en tijdelijke maatregelen
  • Eindrapport: Binnen een maand na het tussenrapport, met bevestigde root cause-analyse, daadwerkelijke impactbeoordeling en genomen herstelmaatregelen

Effectieve  incidentrespons-processen zijn essentieel om deze tijdlijnen te halen. Artikelen 19 en 20 vereisen ook dreigingsactor-attributie in uw incident- en dreigingsrapportages, wat vraagt om  threat intelligence-integratie in uw rapportageprocessen.

Buiten grote incidenten introduceert DORA vrijwillige rapportage van significante cyberdreigingen onder artikel 19. Financiële entiteiten kunnen hun bevoegde autoriteit informeren wanneer zij een cyberdreiging identificeren die relevant is voor het financiële systeem, ook als deze nog niet tot een incident heeft geleid.

Deze rapportageverplichtingen hebben handhavingsconsequenties, waarmee we bij het sanctiekader van DORA komen.

DORA-sancties en handhaving

DORA-handhaving vindt plaats via nationale bevoegde autoriteiten, gecoördineerd door de Europese toezichthoudende autoriteiten (EBA, ESMA en EIOPA). Elke EU-lidstaat implementeert een eigen sanctiekader binnen de DORA-parameters, wat leidt tot verschillen in maximale boetes en handhavingsaanpak.

Sanctiestructuren verschillen aanzienlijk per lidstaat. Volgens  DLA Piper's analyse legt België maximale boetes op van EUR 5 miljoen of 10% van de netto jaaromzet. Zweden berekent boetes als het hoogste van EUR 1 miljoen, 10% van de totale netto jaaromzet of driemaal het voordeel uit de overtreding. Het Duitse kader staat boetes toe tot EUR 5 miljoen voor rechtspersonen en EUR 500.000 voor natuurlijke personen in managementfuncties.

Handhavingsbevoegdheden gaan verder dan financiële sancties. Bevoegde autoriteiten kunnen:

  • Bevelen tot onmiddellijke stopzetting en herstelmaatregelen uitvaardigen
  • Openbare waarschuwingen publiceren met naam van niet-conforme entiteiten
  • Bestuursleden verwijderen die verantwoordelijk zijn voor falend ICT-risicotoezicht

Deze reputatiegevolgen zijn op de lange termijn vaak ingrijpender dan directe financiële sancties.

Artikel 54 verplicht bevoegde autoriteiten om besluiten tot administratieve sancties te publiceren op hun officiële websites, inclusief informatie over het type en de aard van de overtreding en de identiteit van de verantwoordelijken. Dit mechanisme zorgt voor transparantie, maar brengt ook aanzienlijke reputatierisico's met zich mee voor niet-conforme organisaties.

Kritieke Derden vallen onder direct toezicht van de Lead Overseer aangewezen door de ESAs. CTPP's die niet voldoen aan toezichtaanbevelingen krijgen periodieke dwangsommen opgelegd tot zij alsnog voldoen, los van sancties voor de financiële entiteiten die zij bedienen.

Met deze handhavingsrisico's in gedachten is inzicht in de praktische belemmeringen voor naleving essentieel.

Uitdagingen bij de implementatie van DORA

Sectoraal onderzoek toont systematische implementatiebarrières in de financiële sector, waarbij ICT-derdenrisicobeheer en digitale weerbaarheidstests de laagste nalevingsniveaus laten zien.

  1. Complexiteit van derdenrisicobeheer: ICT-derdenrisicobeheer is het gebied met de laagste naleving binnen alle DORA-pijlers. Organisaties staan voor de uitdaging van technologie-ondersteunde juridische beoordelingen van mogelijk duizenden contracten, waarbij elk contract moet worden geverifieerd op naleving van de DORA-beveiligingsnormen door leveranciers.
  2. Tekorten in testprogramma's: Digitale weerbaarheidstests laten eveneens zorgwekkende nalevingsniveaus zien. Dit wijst erop dat organisaties moeite hebben met het implementeren van threat-led penetration testing (TLPT) zoals DORA vereist.
  3. Gebrek aan zichtbaarheid in multi-cloudomgevingen: Het creëren van een centraal overzicht van complexe, gesegmenteerde ICT-systemen is een grote uitdaging. U heeft metadata-inname uit multi-cloudomgevingen nodig, integratie van on-premise infrastructuur en volledige asset-inventarisaties. Geïntegreerde zichtbaarheidplatforms die monitoring over multi-cloud en on-premise combineren, helpen deze uitdaging aan te pakken.
  4. Eisen aan incidentattributie: De verplichting om  dreigingsactor-attributie op te nemen in incidentrapportages zorgt voor extra operationele belasting. Dit vereist toegang tot threat intelligence-feeds en analisten met attributie-expertise, evenals autonome rapportageprocessen voor multi-stakeholdermeldingen, inclusief klantcommunicatie.
  5. Tijdsdruk: De meldplicht binnen 4 uur na incidentclassificatie zorgt voor aanzienlijke operationele druk. Securityplatforms met autonome mogelijkheden verkorten de responstijd door dreigingen te detecteren en te classificeren zonder handmatige tussenkomst. Wanneer een incident om 2 uur 's nachts plaatsvindt, heeft u vier uur om de ernst te classificeren, impact te beoordelen, dreigingsactoren te bepalen en de eerste melding te doen.

Het vermijden van deze barrières vereist gerichte strategieën die inspelen op de meest veeleisende DORA-eisen.

DORA-best practices

Succesvolle DORA-implementatie vereist gestructureerde benaderingen op het gebied van governance, operatie en technologie.

Geef prioriteit aan derdenrisicobeheer: Aangezien derdenrisicobeheer de laagste nalevingspercentages laat zien, voert u technologie-ondersteunde juridische beoordelingen uit van alle ICT-dienstverleningscontracten. Implementeer individuele benaderingen voor kritieke leveranciers. Stel doorlopende monitoring van derdennaleving in en adresseer concentratierisico via diversificatiestrategieën.

Implementeer autonome incidentrespons: Securityplatforms die gedrags-AI inzetten om afwijkend gedrag te monitoren in netwerkpatronen, tijdstippen, IT-activiteiten en onbekende apparaten zoals artikel 15 vereist, maken snelle incidentrespons mogelijk. U heeft  securityplatforms nodig met autonome mogelijkheden om dreigingen te detecteren en te classificeren, zodat u de 4-uurs meldplicht haalt. Zorg dat uw infrastructuur threat intelligence-integratie bevat ter ondersteuning van de dreigingsactor-attributieanalyse zoals vereist onder artikelen 19-20.

Bouw testprogramma's op basis van risicoprofielen: Implementeer threat-led penetration testing (TLPT) voor geïdentificeerde kritieke systemen minimaal elke 3 jaar. Uw testprogramma omvat:

  • Regelmatige scenario-gebaseerde weerbaarheidsoefeningen
  • Gedocumenteerde testresultaten met samenvattende bevindingen
  • Herstelplannen met specifieke tijdlijnen
  • Integratie met business continuity planning

Implementeer geïntegreerde zichtbaarheidplatforms: Zorg voor gecentraliseerde zichtbaarheid over multi-cloud en on-premise omgevingen. Houd volledige ICT-assetinventarissen bij. Implementeer continue posture management. Creëer één bron van waarheid voor ICT-afhankelijkheden op basis van brancheaanbevelingen voor zichtbaarheid in multi-cloud en hybride infrastructuren.

Stel continue compliance in: Richt doorlopende  compliance monitoring-programma's in in plaats van momentopnames. Bouw feedbackloops van testen naar risicobeheer. Blijf op de hoogte van veranderende toezichtverwachtingen. Plan voor updates van regulatoire technische standaarden. Monitor aanwijzingen van kritieke derden door autoriteiten.

Naast deze operationele praktijken helpt inzicht in de DORA-compliancetijdlijn bij het prioriteren van implementatie-inspanningen.

DORA-compliancetijdlijn en belangrijke deadlines

DORA volgt een gefaseerde implementatietijdlijn die begon met publicatie en doorloopt via voortdurende updates van regulatoire technische standaarden. Voorlopen op deze deadlines is essentieel om compliant te blijven.

DORA werd gepubliceerd in het  Publicatieblad van de EU op 27 december 2022 en trad in werking op 16 januari 2023. Financiële entiteiten en ICT-dienstverleners van derden kregen een overgangsperiode van twee jaar om aan de eisen te voldoen.

De primaire handhavingsdatum was 17 januari 2025. Vanaf deze datum moeten alle betrokken financiële entiteiten aantonen dat zij voldoen aan de kernvereisten van DORA: ICT-risicobeheerraamwerken, incidentrapportageprocedures, weerbaarheidstestprogramma's en verplichtingen voor derdenrisicobeheer.

Belangrijke deadlines na handhaving zijn onder meer:

  • 17 januari 2025: Volledige naleving vereist voor alle betrokken entiteiten
  • 30 april 2025: Eerste indieningsdeadline voor het register van ICT-derdenovereenkomsten bij bevoegde autoriteiten
  • Doorlopend (elke 3 jaar): Threat-led penetration testing (TLPT) voor als significant aangemerkte entiteiten
  • Doorlopend: Jaarlijkse updates van het ICT-derdenregister en continue monitoring van derdennaleving

De Europese toezichthoudende autoriteiten blijven Regulatory Technical Standards (RTS) en Implementing Technical Standards (ITS) publiceren met gedetailleerde richtlijnen over specifieke DORA-verplichtingen. De  eerste batch RTS over ICT-risicobeheer, incidentclassificatie en derdenrisico werd begin 2024 afgerond. Een tweede batch over TLPT-eisen en geavanceerde testkaders volgde.

Financiële entiteiten dienen ESA-publicaties te monitoren voor updates van technische standaarden en toezichtsrichtlijnen die de complianceverwachtingen in de loop der tijd kunnen verfijnen. DORA overlapt ook met andere EU-regelgevingskaders die financiële entiteiten gelijktijdig moeten naleven.

DORA en gerelateerde EU-regelgeving

DORA werkt naast verschillende EU-regelgevingen die samen het cybersecurity- en weerbaarheidslandschap voor financiële instellingen bepalen. Inzicht in de interactie tussen deze kaders voorkomt dubbel werk en zorgt voor volledige naleving.

  • DORA en NIS2: DORA fungeert als lex specialis voor de financiële sector en heeft voorrang op de Network and Information Security Directive (NIS2) voor entiteiten binnen de reikwijdte. Waar beide regelingen van toepassing kunnen zijn, gaan de sectorspecifieke eisen van DORA boven de algemene cybersecuritybepalingen van NIS2. ICT-dienstverleners die niet als CTPP zijn aangemerkt, kunnen echter nog steeds onder NIS2 vallen als zij als essentiële of belangrijke entiteit kwalificeren.
  • DORA en AVG: De Algemene Verordening Gegevensbescherming blijft naast DORA van toepassing, met name bij meldingen van datalekken met persoonsgegevens. Als een ICT-gerelateerd incident persoonsgegevens betreft, moet u zowel voldoen aan de DORA-incidentrapportagetijdlijn (eerste melding binnen 4 uur aan bevoegde autoriteiten) als aan de AVG-meldplicht (binnen 72 uur aan de toezichthouder). De twee rapportagestromen lopen parallel met verschillende tijdlijnen, ontvangers en inhoudseisen.
  • DORA en de Cyber Resilience Act (CRA): De CRA richt zich op cybersecurity-eisen voor producten met digitale elementen die op de EU-markt worden gebracht. Waar DORA voorschrijft hoe financiële entiteiten operationeel ICT-risico's beheren, adresseert de CRA de beveiliging van hardware- en softwareproducten die deze entiteiten aanschaffen. Samen vormen ze een supply chain-beveiligingskader waarbij fabrikanten aan CRA-normen moeten voldoen en financiële entiteiten leverancierscompliance onder DORA moeten verifiëren.
  • DORA en ISO 27001: ISO 27001 biedt een vrijwillig informatiebeveiligingsmanagementsysteem, terwijl DORA verplichte eisen oplegt. ENISA biedt officiële mappingtabellen die DORA-eisen koppelen aan ISO 27001-controls. Financiële entiteiten met een ISO 27001-certificering hebben een voorsprong, maar blijven hiaten houden op het gebied van dreigingsactor-attributie, klantmeldingsprotocollen, concentratierisicobeheer van derden en TLPT-eisen die DORA specifiek voorschrijft.

Het implementeren van deze best practices en het navigeren door overlappende regelgeving vereist een security-infrastructuur die is ingericht op continue monitoring en snelle respons.

Ontketen AI-aangedreven cyberbeveiliging

Verhoog uw beveiliging met realtime detectie, reactiesnelheid en volledig overzicht van uw gehele digitale omgeving.

Vraag een demo aan

Belangrijkste punten

DORA verplicht digitale operationele weerbaarheid voor EU-financiële entiteiten met handhaving vanaf 17 januari 2025. De regelgeving vereist ICT-risicobeheerraamwerken met verantwoordelijkheid op bestuursniveau, incidentclassificatie en -rapportage binnen 4 uur voor grote incidenten inclusief dreigingsactor-attributie, weerbaarheidstests met TLPT minimaal elke drie jaar voor significante entiteiten, toezicht op derden met rapportageverplichtingen voor ICT-leveranciers vanaf 30 april 2025, en mechanismen voor informatie-uitwisseling over cyberdreigingen.

Derdenrisicobeheer en weerbaarheidstests laten de laagste nalevingspercentages zien in de financiële sector, wat leidt tot aanzienlijke regulatoire risico's. Securityplatforms die afwijkend gedrag monitoren, threat intelligence-integratie bieden en snelle incidentrespons mogelijk maken, helpen organisaties te voldoen aan de veeleisende DORA-eisen.

Veelgestelde vragen

DORA (Digital Operational Resilience Act) is EU-verordening 2022/2554 die uniforme eisen stelt aan ICT-risicobeheer voor financiële entiteiten binnen de EU. De verordening verplicht financiële instellingen om digitale operationele weerbaarheid te realiseren door het implementeren van ICT-risicobeheerframeworks, procedures voor incidentrapportage, programma's voor weerbaarheidstesten en toezicht op risico's bij derden. 

DORA is van kracht sinds 17 januari 2025 en is van toepassing op 21 typen financiële entiteiten, waaronder banken, beleggingsondernemingen, verzekeringsmaatschappijen en hun ICT-dienstverleners.

DORA is van toepassing op 21 categorieën financiële entiteiten die actief zijn binnen de EU, waaronder kredietinstellingen, beleggingsondernemingen, verzekeringsmaatschappijen, betaaldienstverleners, aanbieders van cryptodiensten en handelsplatforms. 

ICT-dienstverleners van derden die deze financiële entiteiten bedienen, moeten ook voldoen, ongeacht of de dienstverlener binnen of buiten de EU is gevestigd. Het proportionaliteitsbeginsel stelt kleinere entiteiten in staat om vereenvoudigde vereisten toe te passen die in verhouding staan tot hun omvang en risicoprofiel.

DORA is op 16 januari 2023 in werking getreden, na publicatie in het Publicatieblad van de EU op 27 december 2022. De verordening werd volledig van toepassing en afdwingbaar op 17 januari 2025, na een overgangsperiode van twee jaar. 

Financiële entiteiten en ICT-derden moesten uiterlijk op deze handhavingsdatum alle noodzakelijke kaders, beleidsmaatregelen en procedures hebben geïmplementeerd.

Ja. DORA verplicht digitale operationele weerbaarheidstesten onder Artikelen 24-27, waaronder kwetsbaarheidsbeoordelingen, netwerkbeveiligingsbeoordelingen en scenariogebaseerde testen. 

Voor entiteiten die door toezichthoudende autoriteiten als significant zijn aangemerkt, vereist  Artikel 26 dreigingsgestuurde penetratietesten (TLPT) ten minste elke drie jaar. TLPT moet realistische aanvalsscenario's simuleren met gebruik van inlichtingen over daadwerkelijke dreigingsactoren die zich op de specifieke organisatie richten.

Begin met het in kaart brengen van uw ICT-assets en afhankelijkheden van derden om uw volledige regelgevingsscope te begrijpen. Stel een ICT-risicobeheerraamwerk op met verantwoordelijkheid op bestuursniveau, zoals vereist door Artikel 6. 

Herzie en actualiseer alle contracten met ICT-dienstverleners om te voldoen aan de vereisten van Artikel 30. Implementeer procedures voor incidentclassificatie en -rapportage die voldoen aan de meldingsplicht binnen 4 uur. Bouw of verbeter uw weerbaarheidstestprogramma in verhouding tot uw risicoprofiel.

Sancties verschillen per lidstaat, doorgaans variërend van EUR 5-10 miljoen of 5-10% van de jaarlijkse netto-omzet. België hanteert maximale sancties van EUR 5 miljoen of 10% van de jaarlijkse netto-omzet. 

Zweden berekent sancties als het hoogste van EUR 1 miljoen, 10% van de totale jaarlijkse netto-omzet, of driemaal het voordeel verkregen uit de overtreding. Artikel 54 staat autoriteiten ook toe om details van sancties te publiceren, wat reputatierisico's met zich meebrengt naast financiële gevolgen.

DORA is van toepassing op 21 typen financiële entiteiten, waaronder kredietinstellingen, beleggingsondernemingen, verzekeringsmaatschappijen, aanbieders van cryptodiensten en handelsplatformen. 

ICT-derden die diensten leveren aan EU-financiële entiteiten moeten ook voldoen, ongeacht hun vestigingsplaats. Micro-ondernemingen kunnen in aanmerking komen voor vereenvoudigde kadereisen onder Artikel 16(3).

DORA vereist toewijzing van dreigingsactoren in incidentrapportages, klantmelding van incidenten en directe regulatoire toezicht op ICT-derde partijen. ISO 27001 biedt een basis voor risicomanagement maar mist deze specifieke vereisten. 

DORA fungeert als lex specialis voor financiële diensten en heeft voorrang op de algemene cybersecurity-eisen van NIS2. Financiële entiteiten die gecertificeerd zijn volgens ISO 27001 ondervinden nog steeds hiaten in toewijzing van dreigingsactoren, klantmeldingsprotocollen en beheer van concentratierisico’s bij derde partijen, die door DORA worden aangepakt.

TLPT vereist dat entiteiten die als significant zijn aangemerkt, ten minste elke drie jaar geavanceerde tests uitvoeren die echte cyberaanvallen simuleren. De tests moeten gebruikmaken van inlichtingen over daadwerkelijke dreigingsactoren, tactieken, technieken en procedures die specifiek op uw organisatie zijn gericht. 

Na afronding documenteert u de bevindingen en herstelplannen met tijdlijnen, waarna u de nalevingsdocumentatie indient bij de bevoegde autoriteiten voor toezicht.

Artikel 28 bepaalt dat financiële entiteiten alleen contracten mogen afsluiten met ICT-leveranciers die voldoen aan de informatiebeveiligingsnormen van DORA. Bestaande contracten met niet-conforme leveranciers brengen een regulatoir risico met zich mee en moeten worden herzien op verplichte bepalingen. 

De ESA's wijzen kritieke derde partijen aan voor directe regulatoire toezicht. Financiële entiteiten moeten informatie over ICT-derdepartijrelaties indienen in het register en voortdurende nalevingsdocumentatie bijhouden.

Ontdek Meer Over Cyberbeveiliging

Wat is Insecure Direct Object Reference (IDOR)?Cyberbeveiliging

Wat is Insecure Direct Object Reference (IDOR)?

Insecure Direct Object Reference (IDOR) is een toegangscontrolefout waarbij ontbrekende eigendomscontroles aanvallers in staat stellen om gegevens van elke gebruiker op te halen door een URL-parameter te wijzigen. Leer hoe u het kunt detecteren en voorkomen.

Lees Meer
IT versus OT-beveiliging: Belangrijkste verschillen & best practicesCyberbeveiliging

IT versus OT-beveiliging: Belangrijkste verschillen & best practices

IT- en OT-beveiliging bestrijken twee domeinen met verschillende risicoprofielen, compliance-eisen en operationele prioriteiten. Ontdek de belangrijkste verschillen en best practices.

Lees Meer
Wat zijn Air Gapped Backups? Voorbeelden & Best PracticesCyberbeveiliging

Wat zijn Air Gapped Backups? Voorbeelden & Best Practices

Air Gapped Backups houden ten minste één herstelkopie buiten het bereik van aanvallers. Lees hoe ze werken, de verschillende typen, voorbeelden en best practices voor herstel na ransomware.

Lees Meer
Wat is OT-beveiliging? Definitie, uitdagingen & best practicesCyberbeveiliging

Wat is OT-beveiliging? Definitie, uitdagingen & best practices

OT-beveiliging beschermt industriële systemen die fysieke processen aansturen binnen kritieke infrastructuur. Behandelt Purdue Model-segmentatie, IT/OT-convergentie en NIST-richtlijnen.

Lees Meer
Ervaar het meest geavanceerde platform voor cyberbeveiliging

Ervaar het meest geavanceerde platform voor cyberbeveiliging

Ontdek hoe 's werelds meest intelligente, autonome cyberbeveiligingsplatform uw organisatie vandaag en in de toekomst kan beschermen.

Vraag een demo aan
  • Aan de slag
  • Vraag een demo aan
  • Product Tour
  • Waarom SentinelOne
  • Prijzen & Pakketten
  • FAQ
  • Contact
  • Contact
  • Support
  • SentinelOne Status
  • Taal
  • Platform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support Services
  • Markten
  • Energie
  • Overheid
  • Financieel
  • Zorg
  • Hoger Onderwijs
  • Basis Onderwijs
  • Manufacturing
  • Retail
  • Rijksoverheid & lokale overheden
  • Cybersecurity for SMB
  • Resources
  • Blog
  • Labs
  • Case Studies
  • Product Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • Whitepapers
  • Pers
  • Nieuws
  • Ransomware Anthology
  • Bedrijf
  • Over SentinelOne
  • Onze klanten
  • Vacatures
  • Partners
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle rechten voorbehouden.

Privacyverklaring Gebruiksvoorwaarden

Dutch