Woordenlijst · EU financiële regulering DORA (Digital Operational Resilience Act)
EU-verordening die operationele weerbaarheidseisen vaststelt voor financiële instellingen, van kracht sinds januari 2025.
## Wat DORA eigenlijk doet
De Digital Operational Resilience Act (Verordening (EU) 2022/2554) stelt een uniform kader op voor de operationele weerbaarheid van Europese financiële instellingen. Ze geldt vanaf 17 januari 2025 en vervangt een lappendeken aan sectorspecifieke richtsnoeren door één alomvattende, sectoroverstijgende verordening.
DORA dekt specifiek ICT-risico (informatie- en communicatietechnologie) — de kerngedachte van de verordening is dat financiële stabiliteit steeds meer afhangt van de weerbaarheid van technologie, evenzeer als van financiële soliditeit.
## Voor wie DORA geldt
DORA geldt voor vrijwel alle Europese financiële entiteiten:
- Banken en kredietinstellingen
- Beleggingsondernemingen
- Betaaldienstverleners en e-geldinstellingen
- Verzekerings- en herverzekeringsondernemingen
- Pensioenfondsen (IBPV's)
- Aanbieders van crypto-activadiensten
- Aanbieders van crowdfundingdiensten
- Securitisatieregisters
- Handelsplatforms, centrale tegenpartijen, centrale effectenbewaarinstellingen
- Kredietratingbureaus
- Auditkantoren (voor hun klanten in de financiële sector)
Ze creëert ook nieuwe toezichteisen voor **kritieke ICT-derde partijen** — dat wil zeggen grote cloudaanbieders (AWS, Microsoft, Google) en andere technologieleveranciers waarvan financiële instellingen afhankelijk zijn.
## De vijf DORA-pijlers
DORA stelt eisen op vijf gebieden:
### 1. ICT-risicobeheer
Financiële entiteiten moeten alomvattende risicobeheerkaders implementeren die identificatie, bescherming, detectie, respons, herstel en continu leren omvatten. Dit omvat gedocumenteerde governancestructuren, regelmatige risicobeoordelingen en expliciete verantwoording op bestuursniveau.
### 2. Incidentmelding
Grote ICT-gerelateerde incidenten moeten conform gestandaardiseerde sjablonen en deadlines aan autoriteiten worden gemeld. Significante cyberdreigingen moeten ook worden gemeld. De meldverplichtingen zijn strenger dan het algemene kader van NIS2.
### 3. Testen van digitale operationele weerbaarheid
Financiële entiteiten moeten regelmatig hun digitale operationele weerbaarheid testen:
- Kwetsbaarheidsbeoordelingen en scans
- Beveiligingsbeoordelingen van netwerken
- Penetratietesten (jaarlijks minimum)
- Voor significante entiteiten: **threat-led penetration testing (TLPT)** elke drie jaar
TLPT is de meest veeleisende vorm — testen moeten capaciteiten van real-world threat actors simuleren en worden uitgevoerd door gecertificeerde aanbieders onder toezicht van de toezichthouder.
### 4. Beheer van risico's bij derden
DORA introduceert specifieke eisen voor het beheren van risico's van ICT-dienstverleners:
- Verplichte gestandaardiseerde contractbepalingen voor ICT-uitbesteding
- Precontractueel due diligence op kritieke leveranciers
- Monitoring van concentratierisico (overmatige afhankelijkheid van één aanbieder vermijden)
- Noodplanning voor uitval van leveranciers
### 5. Informatiedeling
Financiële entiteiten worden aangemoedigd cyberdreigingsinformatie onderling en met autoriteiten te delen via vertrouwde informatiedelingsregelingen.
## Waarom DORA cloudleveranciersbeslissingen verandert
De pijler over derden raakt specifiek de keuze van cloud- en SaaS-leveranciers. DORA vereist:
**1. Kritieke ICT-derden onder direct regulatoir toezicht.** EU-financiële toezichthouders (ESMA, EBA, EIOPA) kunnen nu rechtstreeks toezicht houden op cloudaanbieders die meerdere financiële instellingen bedienen. Dit is ongekend — directe regulatoire bevoegdheid over technologieleveranciers.
**2. Beheer van concentratierisico.** Financiële instellingen mogen niet al hun kritieke infrastructuur op één cloudaanbieder draaien. Dit dwingt multi-cloudstrategieën, wat vaak betekent dat EU-residente aanbieders worden toegevoegd naast Amerikaanse hyperscalers.
**3. Contractuele eisen.** DORA verplicht specifieke clausules in ICT-uitbestedingscontracten. De standaardvoorwaarden van Amerikaanse aanbieders moeten doorgaans worden aangepast.
**4. Geografische overwegingen.** Hoewel DORA niet expliciet EU-data residency vereist, werken regulatoire samenwerkingsverwachtingen beter met EU-residente aanbieders.
## Praktische implicaties voor Europese fintech
Voor Europese financiële instellingen in 2026:
**Optie 1: Multi-cloud met EU-primair.** Gebruik Hetzner, Scaleway, OVHcloud of Open Telekom Cloud als primaire infrastructuur met een Amerikaanse hyperscaler als secundair. Vermindert concentratierisico en verbetert DORA-positie.
**Optie 2: Soevereine cloud voor gevoelige workloads.** Open Telekom Cloud, T-Systems Sovereign Cloud of Frans Cloud de Confiance voor de gevoeligste toepassingen. Amerikaanse hyperscaler voor minder gevoelige workloads.
**Optie 3: Onderhandel DORA-conforme voorwaarden met Amerikaanse aanbieders.** Mogelijk maar operationeel complex. Grote Amerikaanse aanbieders hebben DORA-conforme aanbiedingen gebouwd, maar de specifieke contractvoorwaarden moeten nog steeds worden onderhandeld.
Voor Europese fintech-startups is bouwen op EU-residente cloud vanaf het begin operationeel eenvoudiger dan naleving achteraf inrichten. Het kosten/prestatieverschil (Hetzner/Scaleway versus AWS) maakt de keuze ook financieel aantrekkelijk.
## De bredere invloed van DORA
DORA creëert een regulatoir patroon dat zich waarschijnlijk verder uitstrekt dan financiële diensten:
- **EU AI Act** gebruikt vergelijkbare concepten van toezicht op derden
- **NIS2** kent parallelle structuren voor incidentmelding
- **Toekomstige EU Cyber Resilience Act** bouwt voort op DORA's concepten over derden
Voor Europese tech-leveranciers die meerdere gereguleerde sectoren bedienen, wordt het aantonen van DORA-achtige operationele weerbaarheid ook buiten de financiële sector een concurrentievoordeel.
## Wat 2026 brengt
Het eerste volledige handhavingsjaar van DORA (2025-2026) zal praktische nalevingsverwachtingen definiëren. Let op:
- **Eerste grote incidentrapportages** onder de nieuwe DORA-sjablonen
- **Penetratietestprogramma's** die opschalen bij Europese financiële instellingen
- **Aanwijzingen van kritieke ICT-derden** door EU-toezichthouders
- **Eerste handhavingsacties** wegens non-compliance
Voor Europese bedrijven die financiële instellingen als leverancier bedienen, wordt DORA-naleving steeds meer een randvoorwaarde voor inkoop.
Was dit nuttig?
Bedankt voor je feedback!