Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Wegwijzer

DORA-readiness: een stappenplan om je voor te bereiden

Vastgesteld 2026-06-28 · ≈ 1 min lezen · Dirk Baaijen

DORA geldt sinds 17 januari 2025. Een praktisch stappenplan om grip te krijgen: bepaal je scope, breng ICT-afhankelijkheden en het register in kaart, richt risicobeheer en incidentmelding in, plan de weerbaarheidstesten en herzie je leverancierscontracten.

Kort antwoord: DORA geldt al sinds 17 januari 2025. Zit je in de scope, dan is de vraag niet of maar hoe ver je bent. Onderstaand stappenplan brengt de vijf pijlers in een werkbare volgorde.

Het stappenplan

  1. Bepaal je scope. Val je onder DORA, en onder het volledige of het vereenvoudigde kader? Dit bepaalt de zwaarte van alle volgende stappen.
  2. Inventariseer ICT-afhankelijkheden + vul het register. Breng systemen, processen en uitbestedingen in kaart en bouw het informatieregister; classificeer per kritieke/belangrijke functie.
  3. Richt het ICT-risicobeheer in. Governancekader met eindverantwoordelijkheid bij het bestuur, beveiligings- en continuïteitsbeleid. Zie ICT-risicobeheer onder DORA.
  4. Zet het incidentproces op. Classificatie + gefaseerde melding van ernstige ICT-incidenten. Zie Incidentmelding onder DORA.
  5. Plan de weerbaarheidstesten. Een testprogramma; voor significante entiteiten een TLPT minstens elke drie jaar. Zie Weerbaarheidstesten en TLPT.
  6. Herzie je leverancierscontracten. Verplichte contractbepalingen + oversight van kritieke ICT-dienstverleners. Zie Derden-ICT-risico en oversight.

Volgorde + onderhoud

Begin bij scope + register (zonder zicht op je afhankelijkheden kun je de rest niet sturen), richt daarna risicobeheer en incidentproces in, en maak van testen een terugkerende cyclus die voedt in je risicokader. Houd het register en de contracten actueel bij elke wijziging.

Lees ook: DORA-wegwijzer en Samenloop AI Act en DORA.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2022/2554/oj
    Verordening (EU) 2022/2554 (DORA) — vijf pijlers; van toepassing sinds 17 januari 2025.
  2. https://www.eba.europa.eu/regulation-and-policy/digital-operational-resilience-dora
    EBA/EIOPA/ESMA — technische standaarden (RTS/ITS) per pijler.

Deel op LinkedIn

Lees ook

U

Weerbaarheidstesten onder DORA: van basistests tot TLPT

DORA verplicht financiële entiteiten hun digitale weerbaarheid periodiek te testen. Significante entiteiten moeten daarnaast minstens elke drie jaar een dreigingsgestuurde penetratietest (TLPT) uitvoeren.

U

Incidentmelding onder DORA: wanneer en hoe melden?

DORA verplicht financiële entiteiten ernstige ICT-incidenten te classificeren en te melden aan de bevoegde toezichthouder, met een eerste, tussentijdse en eindrapportage. Ernstige cyberdreigingen mogen vrijwillig worden gemeld.

U

ICT-risicobeheer onder DORA: wat moet het bestuur regelen?

DORA verplicht financiële entiteiten tot een samenhangend ICT-risicobeheerkader met eindverantwoordelijkheid bij het leidinggevend orgaan. Kleine, niet-verweven entiteiten mogen een vereenvoudigd kader voeren.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.