Ga direct naar inhoud

Verordening voor ICT-bescherming financiële sector

De Digital Operational Resilience Act (DORA) is een Europese verordening. DORA draagt bij aan een veilige financiële sector. Bijvoorbeeld door verbetert ICT-risicomanagement en betere bescherming tegen cyberdreigingen. Financiële ondernemingen in EU-landen moeten sinds januari 2025 aan de nieuwe regels van DORA voldoen. 

Verplichtingen DORA

DORA stelt strengere eisen aan digitale weerbaarheid. Financiële ondernemingen moeten onder andere:

  • Verplichte en regelmatige ethische hacktests;
  • Een IT-incident zoals een cyberaanval bij de toezichthouder melden;
  • Grote, essentiële IT-toeleveranciers (zoals cloud-dienstverleners) vallen direct onder toezicht van de Europese toezichthoudende autoriteiten;
  • In kaart brengen van welke IT-toeleveranciers zij gebruik maken en hoe weerbaar deze partijen zijn;
  • DORA biedt daarnaast financiële ondernemingen de mogelijkheid om informatie over IT-incidenten uit te wisselen.

Voor welke bedrijven van toepassing

DORA geldt voor de meeste financiële ondernemingen, zoals beleggingsondernemingen, banken, betaaldienstverleners, instellingen voor collectieve belegging in effecten (icbe’s), verzekerings- en herverzekeringsbedrijven, beleggingsinstellingen, cryptoactivadienstverleners en pensioenfondsen.

Daarnaast kijkt DORA naar de grootte, het risicoprofiel en het systeembelang van een onderneming. Kleine ondernemingen hoeven niet aan alle regels te voldoen. 

Toezicht door AFM en DNB

De AFM (Autoriteit Financiële Markten) en DNB (De Nederlandsche Bank) houden toezicht op de naleving van de regels door financiële ondernemingen in Nederland. Er gelden ook Europese regels voor grote IT-bedrijven die belangrijke diensten leveren aan financiële instellingen. Europese toezichthouders zorgen ervoor dat deze bedrijven zich hieraan houden.

Ingangsdatum DORA

Sinds 17 januari 2025 is deze verordening van toepassing en moeten financiële ondernemingen in Nederland voldoen aan de nieuwe regels.

Voor DORA waren er al regels over IT-eisen, bijvoorbeeld voor banken. Met DORA gelden de eisen voor veel meer financiële bedrijven op EU-niveau. De regels staan in een verordening die direct geldt voor alle EU-landen. Omdat ook de oude nationale regels hierdoor vervallen zijn de eisen nu overal hetzelfde. Alleen de handhaving is nog op nationaal niveau geregeld. In Nederland kunnen DNB en AFM een boete geven als een financieel bedrijf zich niet aan DORA houdt.