Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Uitleg

ICT-risicobeheer onder DORA: wat moet het bestuur regelen?

Vastgesteld 2026-06-28 · ≈ 1 min lezen · Dirk Baaijen

DORA verplicht financiële entiteiten tot een samenhangend ICT-risicobeheerkader met eindverantwoordelijkheid bij het leidinggevend orgaan. Kleine, niet-verweven entiteiten mogen een vereenvoudigd kader voeren.

Kort antwoord: DORA eist een samenhangend ICT-risicobeheerkader dat onderdeel is van het algehele risicobeheer. Het leidinggevend orgaan (bestuur) draagt de eindverantwoordelijkheid en moet kennis van ICT-risico's actueel houden. Voor kleine, niet-verweven en micro-ondernemingen geldt een vereenvoudigd kader.

Wat het kader moet bevatten

De entiteit identificeert, beschermt, detecteert, herstelt en leert: een volledige cyclus rond ICT-systemen en -afhankelijkheden. Concreet horen daarbij een actueel overzicht van ICT-assets en -afhankelijkheden, beveiligings- en toegangsmaatregelen, detectie van afwijkingen, en een bedrijfscontinuïteits- en herstelbeleid met back-up- en hersteldoelen. Het kader wordt periodiek geëvalueerd en na ernstige incidenten bijgesteld.

Verantwoordelijkheid van het bestuur

DORA legt de verantwoordelijkheid expliciet bij het leidinggevend orgaan: het stelt het kader vast, keurt de risicotolerantie goed, wijst middelen toe en houdt zich aantoonbaar op de hoogte. Bestuurders moeten hun kennis over ICT-risico actueel houden. Dit is geen formaliteit — toezichthouders (in Nederland DNB en AFM) kunnen erop toetsen.

Proportionaliteit

Niet elke entiteit voert hetzelfde regime. Kleine en niet-verweven ondernemingen mogen een vereenvoudigd ICT-risicobeheerkader hanteren dat de kernelementen dekt zonder de volledige zwaarte. Bepaal daarom eerst in welke categorie u valt; de technische standaarden van de ESA's beschrijven beide varianten.

Lees ook: DORA-wegwijzer en Incidentmelding onder DORA.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2022/2554/oj
    Verordening (EU) 2022/2554 (DORA), hoofdstuk II — ICT-risicobeheer; eindverantwoordelijkheid leidinggevend orgaan.
  2. https://www.eba.europa.eu/regulation-and-policy/digital-operational-resilience-dora
    EBA/EIOPA/ESMA — RTS voor het ICT-risicobeheerkader (incl. vereenvoudigd kader).

Deel op LinkedIn

Lees ook

W

DORA-readiness: een stappenplan om je voor te bereiden

DORA geldt sinds 17 januari 2025. Een praktisch stappenplan om grip te krijgen: bepaal je scope, breng ICT-afhankelijkheden en het register in kaart, richt risicobeheer en incidentmelding in, plan de weerbaarheidstesten en herzie je leverancierscontracten.

U

Valt mijn instelling onder DORA?

DORA geldt voor een limitatief opgesomde lijst van financiële entiteiten — van banken en verzekeraars tot betaalinstellingen, crypto-aanbieders en hun kritieke ICT-dienstverleners. Kleine, niet-verweven entiteiten mogen een vereenvoudigd kader voeren. Deze uitleg helpt je bepalen of je eronder valt.

W

DORA-wegwijzer: valt mijn instelling eronder en wat moet ik regelen?

DORA (Verordening (EU) 2022/2554) geldt sinds 17 januari 2025 voor financiële entiteiten en hun kritieke ICT-dienstverleners. Vijf pijlers: ICT-risicobeheer, incidentmelding, weerbaarheidstesten, derden-ICT-risico en informatiedeling. Deze wegwijzer wijst per pijler de weg.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.