Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Uitleg

Valt mijn instelling onder DORA?

Vastgesteld 2026-06-28 · ≈ 1 min lezen · Dirk Baaijen

DORA geldt voor een limitatief opgesomde lijst van financiële entiteiten — van banken en verzekeraars tot betaalinstellingen, crypto-aanbieders en hun kritieke ICT-dienstverleners. Kleine, niet-verweven entiteiten mogen een vereenvoudigd kader voeren. Deze uitleg helpt je bepalen of je eronder valt.

Kort antwoord: DORA somt de entiteiten die eronder vallen limitatief op. Verricht je een gereguleerde financiële activiteit uit die lijst, dan val je eronder — ongeacht je omvang. Kleine en niet-verweven ondernemingen mogen wél een vereenvoudigd ICT-risicokader voeren. In Nederland houden DNB en AFM toezicht.

Wie vallen eronder

Onder meer: kredietinstellingen (banken), betaalinstellingen, instellingen voor elektronisch geld, beleggingsondernemingen, aanbieders van cryptoactivadiensten, centrale tegenpartijen en effectenbewaarinstellingen, handelsplatformen, verzekeraars en herverzekeraars, verzekeringstussenpersonen, beheerders van alternatieve beleggingsfondsen en beheermaatschappijen, en aanbieders van crowdfundingdiensten. Daarnaast geldt een apart oversightkader voor kritieke ICT-dienstverleners (CTPP's) die deze entiteiten bedienen.

Het draait om de gereguleerde activiteit, niet de naam

De afbakening volgt de vergunning/activiteit, niet de bedrijfsnaam of sector. Een logistieke of industriële groep met een eigen betaal- of financieringsentiteit valt voor dát onderdeel onder DORA. Toets dus per entiteit en per activiteit. Ben je tegelijk een essentiële sector onder NIS2, dan gaat DORA als specifiekere regel voor het financiële deel — zie DORA of NIS2: welke geldt?.

Proportionaliteit: het vereenvoudigde kader

Niet elke entiteit voert hetzelfde regime. Kleine, niet-verweven ondernemingen en bepaalde micro-entiteiten mogen een vereenvoudigd ICT-risicobeheerkader hanteren dat de kernelementen dekt zonder de volledige zwaarte. Bepaal eerst je categorie; de technische standaarden van de ESA's beschrijven beide varianten.

Twijfel je?

Bepaal: (1) verricht je een entiteit/activiteit van de lijst? (2) val je onder het vereenvoudigde of het volledige kader? Bij twijfel toets je tegen artikel 2 en de nationale uitvoering.

Lees ook: DORA-wegwijzer en DORA-readiness: stappenplan.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2022/2554/oj
    Verordening (EU) 2022/2554 (DORA), artikel 2 — toepassingsgebied en lijst van financiële entiteiten; van toepassing sinds 17 januari 2025.
  2. https://www.eba.europa.eu/regulation-and-policy/digital-operational-resilience-dora
    EBA — DORA: proportionaliteit en het vereenvoudigde ICT-risicokader.

Deel op LinkedIn

Lees ook

W

DORA-wegwijzer: valt mijn instelling eronder en wat moet ik regelen?

DORA (Verordening (EU) 2022/2554) geldt sinds 17 januari 2025 voor financiële entiteiten en hun kritieke ICT-dienstverleners. Vijf pijlers: ICT-risicobeheer, incidentmelding, weerbaarheidstesten, derden-ICT-risico en informatiedeling. Deze wegwijzer wijst per pijler de weg.

A

Samenloop van AI Act en DORA: één AI-systeem, twee toezichtkaders

Financiële instellingen die AI inzetten vallen tegelijk onder DORA (sinds januari 2025) en de AI Act. Deze analyse beschrijft waar de kaders elkaar raken, waar de AI Act expliciet naar het financiëledienstenrecht verwijst, en waar dubbel werk dreigt.

U

Derden-ICT-risico onder DORA: contracten, register en oversight

DORA stelt eisen aan uitbesteding van ICT: verplichte contractbepalingen, een informatieregister van alle ICT-dienstverleners, en een Europees oversightkader voor als kritiek aangemerkte ICT-dienstverleners.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.