Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Uitleg

Weerbaarheidstesten onder DORA: van basistests tot TLPT

Vastgesteld 2026-06-28 · ≈ 1 min lezen · Dirk Baaijen

DORA verplicht financiële entiteiten hun digitale weerbaarheid periodiek te testen. Significante entiteiten moeten daarnaast minstens elke drie jaar een dreigingsgestuurde penetratietest (TLPT) uitvoeren.

Kort antwoord: DORA verplicht een testprogramma voor digitale operationele weerbaarheid, afgestemd op uw omvang en risicoprofiel. Alle onder DORA vallende entiteiten testen periodiek; significante entiteiten voeren daarbovenop minstens elke drie jaar een dreigingsgestuurde penetratietest (TLPT) uit.

Het basis-testprogramma

Het programma omvat onder meer kwetsbaarheidsbeoordelingen en -scans, open-source-analyses, netwerkbeveiligingstests, gap-analyses, scenario- en penetratietests, en tests van bedrijfscontinuïteit en herstel. Kritieke ICT-systemen worden minstens jaarlijks getest. Tests worden uitgevoerd door onafhankelijke partijen (intern of extern) en bevindingen worden opgevolgd.

TLPT voor significante entiteiten

Entiteiten die door hun toezichthouder als significant worden aangemerkt, moeten een threat-led penetration test uitvoeren op live productiesystemen die kritieke functies ondersteunen. De TLPT-eisen sluiten aan op het TIBER-EU-kader. De test gebeurt ten minste eens per drie jaar (de toezichthouder kan de frequentie aanpassen) en mag derde-ICT-dienstverleners betrekken die kritieke functies leveren.

Plan het als cyclus

Behandel testen niet als losse exercitie maar als terugkerende cyclus die voedt in uw ICT-risicokader: bevindingen leiden tot herstelmaatregelen, die u opnieuw test. Stem de planning af op uw incident- en continuïteitsproces.

Lees ook: DORA-wegwijzer en Derden-ICT-risico en oversight.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2022/2554/oj
    Verordening (EU) 2022/2554 (DORA), hoofdstuk IV — testen van digitale operationele weerbaarheid en TLPT.
  2. https://www.eba.europa.eu/regulation-and-policy/digital-operational-resilience-dora
    ESA's — RTS over dreigingsgestuurde penetratietests (TLPT), afgestemd op het TIBER-EU-kader.

Deel op LinkedIn

Lees ook

W

DORA-readiness: een stappenplan om je voor te bereiden

DORA geldt sinds 17 januari 2025. Een praktisch stappenplan om grip te krijgen: bepaal je scope, breng ICT-afhankelijkheden en het register in kaart, richt risicobeheer en incidentmelding in, plan de weerbaarheidstesten en herzie je leverancierscontracten.

W

AI- en digitale regels voor de financiële sector — overzicht

Eén ingang voor banken, verzekeraars en fintech: welke AI- en digitale regels raken jouw instelling — van DORA en de AI Act tot kredietscoring, AML en verzekeringen — met per onderwerp een bron-herleidbaar dossier en de financiële scan.

U

DORA informatieregister (register of information): wat moet erin?

DORA verplicht financiële entiteiten een informatieregister bij te houden van álle contractuele afspraken over ICT-diensten, op entiteits-, sub-geconsolideerd en geconsolideerd niveau. Toezichthouders vragen het jaarlijks op; het voedt ook de aanwijzing van kritieke ICT-dienstverleners.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.