Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Wegwijzer

DORA-wegwijzer: valt mijn instelling eronder en wat moet ik regelen?

Vastgesteld 2026-06-28 · ≈ 1 min lezen · Dirk Baaijen

DORA (Verordening (EU) 2022/2554) geldt sinds 17 januari 2025 voor financiële entiteiten en hun kritieke ICT-dienstverleners. Vijf pijlers: ICT-risicobeheer, incidentmelding, weerbaarheidstesten, derden-ICT-risico en informatiedeling. Deze wegwijzer wijst per pijler de weg.

Kort antwoord: DORA — de Digital Operational Resilience Act, Verordening (EU) 2022/2554 — geldt sinds 17 januari 2025 rechtstreeks in de hele EU. Ze verplicht financiële entiteiten om hun digitale weerbaarheid aantoonbaar op orde te hebben. Valt u eronder, dan raakt u vijf pijlers: ICT-risicobeheer, incidentmelding, weerbaarheidstesten, beheersing van derden-ICT-risico en (vrijwillige) informatiedeling.

Valt mijn instelling onder DORA?

DORA somt de financiële entiteiten limitatief op. Daaronder vallen onder meer banken (kredietinstellingen), betaalinstellingen, instellingen voor elektronisch geld, beleggingsondernemingen, aanbieders van cryptoactivadiensten, verzekeraars en herverzekeraars, verzekeringstussenpersonen, beheerders van beleggingsfondsen, en hun kritieke ICT-dienstverleners. Voor kleine, niet-verweven en micro-ondernemingen geldt een vereenvoudigd ICT-risicokader (proportionaliteit). In Nederland houden DNB en AFM toezicht. Bent u tegelijk een essentiële sector onder NIS2 — bijvoorbeeld een vervoerder met betaalvergunning — dan gaat DORA als specifiekere regel voor dat financiële onderdeel. Zie DORA of NIS2: welke geldt?.

De vijf pijlers

  1. ICT-risicobeheer — een governancekader met eindverantwoordelijkheid bij het bestuur. Zie ICT-risicobeheer onder DORA.
  2. Incidentmelding — classificeren en melden van ernstige ICT-incidenten aan de toezichthouder. Zie Incidentmelding onder DORA.
  3. Weerbaarheidstesten — periodiek testen, met dreigingsgestuurde penetratietests (TLPT) voor significante entiteiten. Zie Weerbaarheidstesten en TLPT.
  4. Derden-ICT-risico — contractuele eisen, een informatieregister en oversight van kritieke ICT-dienstverleners. Zie Derden-ICT-risico en oversight.
  5. Informatiedeling — vrijwillige uitwisseling van dreigingsinformatie tussen entiteiten.

Waar te beginnen

Bepaal eerst of u een onder DORA vallende entiteit bent en of het vereenvoudigde kader geldt. Breng vervolgens uw ICT-afhankelijkheden en uitbestedingen in kaart (het register), richt het risicobeheer- en incidentproces in, en plan de testcyclus. De gedetailleerde eisen staan in de technische standaarden (RTS/ITS) van EBA, EIOPA en ESMA.

Lees ook: Samenloop AI Act en DORA.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2022/2554/oj
    Verordening (EU) 2022/2554 (DORA), authentieke tekst; van toepassing sinds 17 januari 2025.
  2. https://www.eba.europa.eu/regulation-and-policy/digital-operational-resilience-dora
    EBA — Digital Operational Resilience Act: technische standaarden (RTS/ITS) van de ESA's.
  3. https://finance.ec.europa.eu/regulation-and-supervision/financial-services-legislation/implementing-and-delegated-acts/digital-operational-resilience-act_en
    Europese Commissie — DORA: toepassingsgebied en uitvoeringshandelingen.

Deel op LinkedIn

Lees ook

U

Valt mijn instelling onder DORA?

DORA geldt voor een limitatief opgesomde lijst van financiële entiteiten — van banken en verzekeraars tot betaalinstellingen, crypto-aanbieders en hun kritieke ICT-dienstverleners. Kleine, niet-verweven entiteiten mogen een vereenvoudigd kader voeren. Deze uitleg helpt je bepalen of je eronder valt.

A

Samenloop van AI Act en DORA: één AI-systeem, twee toezichtkaders

Financiële instellingen die AI inzetten vallen tegelijk onder DORA (sinds januari 2025) en de AI Act. Deze analyse beschrijft waar de kaders elkaar raken, waar de AI Act expliciet naar het financiëledienstenrecht verwijst, en waar dubbel werk dreigt.

A

DORA of NIS2: welke geldt voor mijn (logistieke) organisatie?

Een logistieke organisatie valt in de regel onder NIS2 (transport is een essentiële sector), niet onder DORA. DORA geldt voor financiële entiteiten. Bent u beide, dan gaat DORA als lex specialis voor.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.