Go to content

Digital Operational Resilience Act (DORA)

De Digital Operational Resilience Act (DORA) is een Europese verordening met als doel dat financiële organisaties IT-risico’s beter beheersen en daarmee weerbaarder worden tegen cyberdreigingen. DORA is van kracht sinds januari 2023 en is een aanvulling op bestaande wetgeving NIS en GDPR.

Ondernemingen hebben tot 17 januari 2025 de tijd om aan de regelgeving te voldoen. Voor een deel van de ondernemingen gelden nu al DORA-gerelateerde vereisten vanuit bestaande wet- en regelgeving.

Doelstelling

DORA stelt onder meer eisen ten aanzien van IT-risicomanagement, IT-incidenten, periodieke testen van digitale weerbaarheid en de beheersing van risico’s bij uitbesteding aan (kritieke) derden. Daarbij wordt rekening gehouden met de grootte, het risicoprofiel en het systeembelang van individuele organisaties. Zo zijn zogeheten micro-ondernemingen bijvoorbeeld uitgesloten van verschillende onderdelen van de verordening en wordt voor het tweede hoofdstuk van DORA (‘ICT-risicobeheer’) een versimpeld kader ontwikkeld voor bepaalde vergunningstypes.

Daarnaast zijn er nog twee aanvullende effecten die bijdragen aan de weerbaarheid van financiële instellingen. Ten eerste beoogt DORA de ketenveiligheid te verbeteren. De verordening bevat namelijk een kader dat van toepassing zal zijn op de meest kritieke ICT-dienstverleners voor de financiële sector. Tenslotte treft de verordening ook een regeling voor informatie-uitwisseling, zodat financiële instellingen onderling informatie en inlichtingen over cyberdreigingen kunnen uitwisselen en risico’s daarmee verder kunnen beperken.

Contact

Heeft u vragen over ons toezicht aan de hand van DORA? Neem dan contact op via het Ondernemersloket.

RTS en ITS

Naast de beschreven vereisten in de verordening, worden een aantal onderwerpen verder uitgewerkt in een Regulatory Technical Standard (RTS) of Implementation Technical Standard (ITS).

Publicaties

De AFM deelt in aanloop naar de inwerkingtreding van DORA regelmatig informatieve updates en andere publicaties ter voorbereiding voor ondernemingen.