Vanaf januari 2025 moeten banken, verzekeraars en andere financiele instellingen in Europa voldoen aan DORA: de Digital Operational Resilience Act. Deze Europese verordening stelt concrete eisen aan hoe organisaties omgaan met digitale risicos, cyberaanvallen en IT-storingen. Wie niet voldoet, riskeert boetes en reputatieschade.
Veel organisaties weten wel dat DORA eraan komt, maar zijn nog niet klaar. De wet raakt niet alleen de IT-afdeling, maar de hele bedrijfsvoering. Van contracten met softwareleveranciers tot hoe je reageert op een datalek: alles moet op orde zijn.
In dit artikel leggen we uit wat DORA precies vraagt, welke stappen je kunt zetten en welke tools en partners daarbij helpen. Geen juridisch jargon, maar praktische uitleg die je direct kunt gebruiken.
Wat is DORA en voor wie geldt het?
DORA staat voor Digital Operational Resilience Act. Het is een Europese wet die financiele instellingen verplicht hun digitale weerbaarheid serieus te nemen. Denk aan banken, betaalinstellingen, beleggingsondernemingen, verzekeraars en cryptodienstverleners.
De wet geldt ook voor kritieke IT-leveranciers van deze instellingen. Levert een softwarebedrijf cloudoplossingen aan een bank? Dan valt ook dat bedrijf deels onder de regels. Dit maakt DORA breder dan veel mensen denken.
Het doel is simpel: voorkomen dat een cyberincident of IT-storing het financiele systeem destabiliseert. Denk aan wat er kan gebeuren als een grote bank wekenlang niet bereikbaar is door ransomware. DORA wil dat financiele organisaties zulke scenario’s kunnen weerstaan en snel herstellen.
De vijf pijlers van DORA
DORA is opgebouwd rond vijf hoofdthemas. Samen vormen ze een degelijk kader voor digitale weerbaarheid.
1. ICT-risicobeheer
Organisaties moeten een volledig beeld hebben van hun digitale risicos. Dat betekent: inventariseer je systemen, breng kwetsbaarheden in kaart en stel een actueel risicobeheerplan op. Dit plan moet regelmatig worden bijgewerkt.
2. Incidentbeheer en -rapportage
Als er iets misgaat, moet je dat snel detecteren, beheersen en rapporteren. DORA stelt concrete termijnen voor het melden van ernstige incidenten aan toezichthouders zoals De Nederlandsche Bank. Eerste melding binnen vier uur, volledige rapportage binnen 72 uur.
3. Digitale veerkrachttesten
Je moet regelmatig testen of je systemen bestand zijn tegen aanvallen. Grotere organisaties zijn verplicht zogenoemde TLPT-tests uit te voeren: Threat Led Penetration Testing. Hierbij simuleren ethische hackers echte aanvallen op je systemen.
4. Risicos bij derde partijen
Gebruik je externe softwareleveranciers of clouddiensten? Dan moet je contractueel vastleggen wat die partijen moeten doen bij een incident. Je blijft als financiele instelling zelf verantwoordelijk, ook als een leverancier de fout in gaat.
3. Informatiedeling
DORA stimuleert dat financiele instellingen informatie over cyberdreigingen delen. Niet verplicht, maar wel sterk aanbevolen. Samen sta je sterker tegen georganiseerde cybercriminelen.
Waar gaat het vaak mis?
De meeste organisaties hebben wel iets aan beveiliging gedaan, maar voldoen nog niet volledig aan DORA. Een veelvoorkomend probleem is het ontbreken van een volledig overzicht van alle IT-systemen en leveranciers. Je kunt een risico niet beheersen als je niet weet dat het bestaat.
Een ander struikelblok is netwerksegmentatie. Veel organisaties hebben hun netwerk niet opgedeeld in aparte zones. Hierdoor kan een aanvaller die ergens binnendringt, zich vrijelijk door het hele netwerk bewegen. DORA vereist dat je dit aanpakt.
Hier komen partijen als Illumio in beeld. Illumio biedt een platform voor microsegmentatie: het opdelen van een netwerk in kleine, afgeschermde zones. Slaagt een aanvaller er toch in binnen te komen, dan blijft de schade beperkt tot een klein deel van het netwerk. Deloitte Nederland werkt samen met Illumio om financiele instellingen te helpen precies dit soort maatregelen te implementeren en tegelijk aan DORA te voldoen.
Zo’n samenwerking tussen een adviesbureau en een technologieleverancier is praktisch: Deloitte begrijpt de compliance-eisen, Illumio levert de technische tools. Voor organisaties die snel stappen willen zetten, is dit een degelijke aanpak.
Praktische stappen om te beginnen
Heb je nog weinig gedaan aan DORA-compliance? Begin dan met een nulmeting. Breng in kaart welke systemen je gebruikt, wie toegang heeft en welke leveranciers kritieke diensten leveren. Dit kost tijd, maar is de basis voor alles wat daarna komt.
Daarna stel je prioriteiten. Niet alles kan tegelijk, en dat hoeft ook niet. Focus eerst op de systemen die het meest kritiek zijn voor je bedrijfsvoering. Wat gebeurt er als dit systeem uitvalt? Hoe lang kun je dat overleven?
Stel vervolgens een incidentresponsplan op. Schrijf op wie wat doet bij een cyberaanval. Wie belt de toezichthouder? Wie informeert klanten? Wie schakelt systemen af? Test dit plan minstens een keer per jaar.
Bekijk daarna je leverancierscontracten. Staan er afspraken in over informatiebeveiliging, incidentrapportage en continuiteit? Zo niet, dan moet je die opnemen bij de volgende contractverlenging. DORA vereist dit expliciet.
Hulpmiddelen en partners die je kunt inzetten
Je hoeft dit niet alleen te doen. Er zijn diverse partijen die organisaties helpen bij DORA-compliance.
Grote adviesbureaus zoals Deloitte, KPMG en PwC hebben gespecialiseerde teams die organisaties begeleiden bij het opzetten van een DORA-programma. Ze helpen met de gap-analyse, het schrijven van beleid en het opzetten van governancestructuren. Reken op dagprijzen van 1.500 tot 3.000 euro, afhankelijk van de expertise en omvang van het project.
Voor de technische kant zijn er leveranciers als Illumio voor microsegmentatie, CrowdStrike voor endpoint-beveiliging en Splunk voor het monitoren van je netwerk. Deze tools zijn niet goedkoop, maar voor organisaties die onder DORA vallen, zijn ze een betrouwbare investering.
Voor kleinere instellingen zijn er ook betaalbare opties. Microsoft Defender for Business biedt basisbeveiliging voor een paar tientjes per gebruiker per maand. Combineer dat met een goed beleid en een praktisch incidentplan, en je bent al een eind op weg.
VPN als onderdeel van een bredere beveiligingsstrategie
DORA gaat verder dan alleen VPNs, maar een VPN blijft een handig onderdeel van je beveiligingsgereedschapskist. Zeker voor medewerkers die thuis of onderweg werken, is een VPN een simpele manier om dataverkeer te versleutelen.
Voor zakelijk gebruik zijn Proton VPN en Mullvad goede keuzes vanwege hun focus op privacy en transparantie. Proton VPN biedt zakelijke abonnementen vanaf ongeveer 8 euro per gebruiker per maand. Mullvad rekent een vast bedrag van 5 euro per account per maand, ongeacht het aantal apparaten.
NordVPN Teams en Surfshark for Business zijn toegankelijker in prijs en bieden centrale beheermogelijkheden. ExpressVPN en CyberGhost hebben ook zakelijke opties, maar richten zich meer op individueel gebruik. Voor DORA-compliance alleen is een VPN niet voldoende, maar als onderdeel van een groter pakket maatregelen draagt het bij aan een degelijke beveiliging.
Wat zijn de risicos als je niets doet?
De Europese toezichthouders kunnen boetes opleggen aan organisaties die niet voldoen aan DORA. Hoeveel precies hangt af van de ernst van de overtreding en het land, maar de bedragen kunnen hoog oplopen. Daarnaast kan de toezichthouder eisen dat je bepaalde activiteiten staakt totdat je aan de regels voldoet.
Maar de financiele schade van een cyberaanval is vaak groter dan welke boete dan ook. Ransomware-aanvallen kosten organisaties gemiddeld miljoenen aan herstelkosten, verloren omzet en reputatieschade. DORA dwingt je om dit serieus te nemen, maar uiteindelijk is het in je eigen belang.
Organisaties die nu investeren in digitale weerbaarheid, bouwen niet alleen aan compliance, maar ook aan het vertrouwen van klanten en partners. In een sector waar vertrouwen alles is, is dat een praktische reden om niet te wachten.
Conclusie: begin vandaag, niet morgen
DORA is geen papieren tijger. De wet stelt concrete eisen en toezichthouders gaan handhaven. Maar het goede nieuws is dat je niet alles in een keer hoeft te regelen. Begin met een nulmeting, stel prioriteiten en werk stap voor stap naar volledige compliance toe.
Schakel hulp in waar nodig. Of dat nu een groot adviesbureau is of een kleinere specialist: er zijn partijen die weten wat DORA vraagt en je kunnen helpen de juiste stappen te zetten. De samenwerking tussen Deloitte en Illumio laat zien dat compliance en praktische technologie hand in hand kunnen gaan.
Wacht niet tot er iets misgaat. Een cyberaanval of IT-storing kies je geen moment voor, maar hoe voorbereid je bent, bepaal je nu.