De Digital Operational Resilience Act (DORA) is sinds 17 januari 2025 van kracht voor alle financiële instellingen in de EU — banken, verzekeraars, vermogensbeheerders, betaaldienstverleners, en ICT-leveranciers in de financiële sector. DORA werkt parallel aan de Cyberbeveiligingswet (Cbw) maar is lex specialis: voor financiële entiteiten gaat DORA voor waar Cbw en DORA overlappen. Wat zegt DORA over awareness, hoe verhoudt het zich tot de Cbw, en wat moet u praktisch regelen?
Wat is DORA en voor wie geldt het?
DORA (Verordening 2022/2554) is een Europese verordening — geen richtlijn — wat betekent dat hij rechtstreeks van toepassing is in alle EU-lidstaten zonder nationale omzetting. Sinds 17 januari 2025 is DORA bindend voor:
- Banken en kredietinstellingen
- Verzekeraars en herverzekeraars
- Vermogensbeheerders en beleggingsondernemingen
- Betaaldienstverleners, e-money instellingen, fintech
- Centrale tegenpartijen, handelsplatformen, transactie-registers
- Crowdfunding-aanbieders en cryptodienstverleners
- Kritieke ICT-leveranciers aan de financiële sector (een speciaal aanwijsregime)
DORA en de Cbw — welke geldt?
In Nederland geldt voor de financiële sector een gelaagd toezicht: de Cyberbeveiligingswet voor algemene cybersecurity, DORA voor sector-specifieke ICT-risico's, en de bestaande prudentiële kaders (Solvency II, Bbpm) voor financiële stabiliteit.
De algemene regel: DORA gaat voor waar DORA en Cbw overlappen. DORA is lex specialis — specifiekere regelgeving voor de financiële sector. Voor onderwerpen die alleen in Cbw staan (en niet in DORA), blijft Cbw van toepassing. Voor onderwerpen die in beide staan (zoals incidentmelding), volg je DORA.
Praktische implicatie: een financiële instelling hoeft niet beide kaders parallel te implementeren als losse trajecten. Eén DORA-programma dekt het meeste, met een aanvulling voor Cbw-onderwerpen die DORA niet specifiek regelt (bijvoorbeeld bestuurstraining onder Cbw art. 24 — DORA noemt dit minder expliciet).
DORA artikel 13 — ICT-bewustzijn en training
DORA artikel 13 verplicht financiële entiteiten om "ICT-bewustzijnsprogramma's en digitale operationele veerkrachttrainingen" op te zetten als verplicht onderdeel van het ICT-risicobeheer. De eisen:
- Alle medewerkers moeten regelmatig basistraining krijgen — niet alleen IT-personeel
- Personeel in kritieke functies krijgt aanvullende, gespecialiseerde training
- Trainingen moeten aangepast zijn aan rol en risico — een treasury-medewerker, klantenservice-agent en compliance-officer hebben elk andere accenten
- Het bestuur volgt periodiek training over ICT-risico's en digitale operationele veerkracht
- Effectiviteit moet worden gemeten en geëvalueerd — niet alleen deelname, maar ook gedragsverbetering
CEO-fraude en BEC — de #1 dreiging in finance
Financiële instellingen worden disproportioneel geraakt door Business Email Compromise (BEC) en CEO-fraude. Volgens FBI-data is finance jaarlijks goed voor 15-20% van alle gerapporteerde BEC-incidenten wereldwijd, terwijl de sector slechts ~5% van de economie uitmaakt.
Het risicoprofiel verschilt van algemene phishing. Aanvallers richten zich specifiek op finance- en treasury-functies met scenario's als: een spoedopdracht van de "CFO" buiten kantooruren, een leveranciersmail met gewijzigd rekeningnummer, een "compliance-vraag" over een specifieke transactie, een M&A-due-diligence-aanvraag.
Effectieve DORA-awareness in finance traint specifiek op deze scenario's, met verificatieprotocollen (terugbellen via bekend nummer, two-person sign-off boven drempelbedrag) als concrete reflex. Generieke phishing-content schiet hier tekort.
DORA-incidentmeldingen versus Cbw
DORA artikel 19 introduceert een eigen incidentmeldingsregime voor financiële instellingen. Significante ICT-incidenten moeten worden gemeld aan de bevoegde toezichthouder (in NL: DNB) volgens DORA-tijdslijnen. Cbw artikel 25 heeft eveneens een meldplicht (binnen 24/72 uur, met eindrapport binnen één maand) maar voor algemene cybersecurity-incidenten.
Voor financiële instellingen geldt: bij een significant ICT-incident dat zowel onder DORA als Cbw valt, gebruik je het DORA-meldproces (omdat DORA lex specialis is). Bij incidenten die alleen onder Cbw vallen (bijvoorbeeld een datalek dat niet ICT-operationeel is), gebruik je de Cbw-meldroute.
In de praktijk hanteren grote financiële instellingen één integrated incident response process dat aan beide kaders voldoet, met automatische triage of een incident DORA, Cbw of beide raakt. Dit voorkomt dubbele rapportage of — erger — gemiste meldtermijnen.
Toezicht en sancties
DORA wordt in Nederland gehandhaafd door De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) — afhankelijk van het type instelling. Voor systeemrelevante banken is daarnaast de ECB (via SSM) betrokken.
DORA-sancties kunnen oplopen tot 1% van de wereldwijde dagomzet per dag dat een overtreding voortduurt — dat is uniek hoog voor compliance-regelgeving. Daarnaast kunnen toezichthouders aanwijzingen geven, vergunningen intrekken, en ICT-leveranciers van de "kritieke ICT-leveranciers"-lijst halen.
In de eerste 12-18 maanden na 17 januari 2025 hanteren toezichthouders een graduate aanpak: focus op aantoonbare voortgang, niet op maximale boetes. De uitzondering: incidentmeldingen die te laat zijn gedaan, en kritieke ICT-leveranciers die hun contractuele verplichtingen niet nakomen — daar wordt direct gehandhaafd.
Bekijk hoe 2LRN4 dit thema vertaalt naar een werkbaar Cbw-programma met training, phishing simulatie en bestuursrapportage.
Bekijk de platformpaginaGerelateerd in de kennisbank
Bronnen
FAQ
Vallen ook fintech en crypto onder DORA?
Ja. DORA dekt expliciet betaaldienstverleners (PSP's), e-money instellingen, crowdfunding-aanbieders en cryptodienstverleners (CASP's onder MiCA). Kleine fintechs onder bepaalde drempels kunnen vereenvoudigde regimes hebben, maar volledig uitgesloten zijn ze zelden.
Hoe verhoudt DORA zich tot Solvency II en Bbpm?
DORA is specifiek voor ICT-risico, Solvency II/Bbpm voor financiële prudentie. ICT-risico is onder DORA een eigen categorie naast krediet-, markt-, en operationeel risico. In de praktijk werken risk- en compliance-functies van financiële instellingen aan een geïntegreerd risk framework dat alle drie dekt.
Wat zijn "kritieke ICT-leveranciers" onder DORA?
ICT-leveranciers die door de Europese toezichthouders (ESA's) zijn aangewezen als "critical third-party providers" (CTPP's) — typisch grote cloud-providers (AWS, Azure, GCP), payment processors, en specifieke fintech-platforms die door veel financiële instellingen tegelijk worden gebruikt. CTPP's vallen onder direct EU-toezicht.
Moeten verzekeraars hetzelfde regime volgen als banken?
Substantieel ja, maar met sector-specifieke accenten. Verzekeraars hebben minder direct ICT-operationeel risico bij real-time payments, maar wel grote exposure aan claim-data en actuariële modellen. DORA-implementatie bij verzekeraars focust meer op continuïteit en data-integriteit dan bij banken.
Wat is DORA Threat-Led Penetration Testing (TLPT)?
DORA artikel 26-27 verplicht grote financiële instellingen om periodiek (elke 3 jaar) Threat-Led Penetration Tests uit te voeren — gestructureerde red-team-oefeningen onder toezicht. Voor kleinere instellingen geldt een lichter regime van vulnerability assessments.
Hoe begin ik als kleine financiële instelling?
Drie prioriteiten: (1) gap-analyse op DORA art. 5-19 (governance, risk, training, incidentmelding); (2) ICT-leverancierscontracten herzien voor DORA-vereiste clausules; (3) trainingsprogramma opzetten dat zowel DORA art. 13 als Cbw art. 21 dekt. Veel sector-collectieven (NVB, Verbond, Holland FinTech) bieden gedeelde DORA-implementatieprogramma's.