Een samenvatting van de nieuwe DORA wetgeving
Door Liesbeth Sparks, Content writer cybersecurity bij Secura
9 VRAGEN EN ANTWOORDEN OVER DE DIGITAL DIGITAL OPERATIONAL RESILIENCE ACT
Wat is de nieuwe DORA wetgeving in het kort? Die vraag krijgt Secura vaak. Experts Anne de Nies en Ben Brücker, werkzaam bij Secura, beantwoorden de meest gestelde vragen over DORA. Begin 2025 moet de financiële sector in Europa klaar zijn voor deze cybersecuritywet.

1. WAT IS DORA?
‘DORA richt zich op het beschermen van netwerken en informatiesystemen. Het is een Europese richtlijn waar de hele financiële sector zich aan moet gaan houden’, zegt Anne de Nies. Zij werkt als Group Manager Finance bij Secura, en helpt organisaties in de financiële sector bij digitale beveiliging. ‘Het doel is om te zorgen dat de sector weerbaarder wordt tegen digitale risico’s.
’DORA is aangenomen door het Europees Parlement, maar de specifieke wetgeving staat nog in de steigers, legt manager Red Teaming Ben Brücker uit: ‘De afzonderlijke landen in de EU mogen de invulling van de richtlijn in hun land bepalen.’‘Om een voorbeeld te geven: een vrij harde eis van DORA is dat je een Risk Management Framework moet hebben. Maar welk framework? Dat bepaalt waarschijnlijk ieder EU-land zelf.’
2. VANAF WANNEER GELDT DORA VOOR MIJN ORGANISATIE?
De Nies: ‘De nieuwe DORA-wetgeving is op 16 januari van dit jaar ingegaan. Nu gaan de afzonderlijke EU-landen de richtlijn implementeren. Vanaf 1 januari 2025 moeten bedrijven er aan voldoen. Naar verwachting zijn de Regulatory Technical Standards, of RTS, in juni 2023 bekend.’
Organisaties hebben dus redelijk wat tijd om zich klaar te maken, zegt De Nies: ‘Omdat het om een complexe Europese richtlijn gaat, heeft de EU gekozen voor een lange implementatieperiode van 24 maanden.’
3. WAAROM IS DORA BEDACHT?
‘De financiële wereld is natuurlijk al gebonden aan allerlei wetten en regels en het bijbehorende toezicht’, zegt De Nies. ‘Maar die richten zich vooral op het financiële aspect, denk aan kredietrisico’s of anti-fraude.
De cybersecurityeisen ontwikkelen zich nu ook: ‘We hadden al vanaf 2016 de NIS Directive, gericht op het beveiligen van netwerk en informatie systemen. Maar DORA is de eerste Europese norm voor de financiële sector die zegt: je moet al je digitale ICT-risico’s in kaart brengen.’
Dit betekent dat alle financiële partijen aan min of meer dezelfde eisen moeten voldoen. ‘Dus niet alleen de grootbanken, die vaak toch al goed gereguleerd zijn en waar cyber security prioriteit heeft.’
‘Het grootste voordeel van DORA is dat de hele sector uiteindelijk weerbaarder wordt tegen bedreigingen’, vindt De Nies. ‘Ook internationale samenwerking wordt waarschijnlijk makkelijker, omdat je allemaal op dezelfde manier geacht wordt te werken.’
4. VOOR WIE GAAT DORA GELDEN?
DORA gaat niet alleen gelden voor banken en financiële instellingen, maar ook voor kritieke leveranciers aan de financiële sector, legt De Nies uit: ‘Denk aan een bedrijf dat het netwerk beheert van een bank, om een simpel voorbeeld te geven.’
‘Als de bank veilig is, maar de ICT-leverancier niet, dan heb je natuurlijk nog steeds een groot risico. Dus deze leveranciers vallen ook onder DORA.’
Kritieke dienstverleners zullen wel te maken krijgen met iets andere regels dan banken of vermogensbeheerders.
5. WAT BETEKENT DORA CONCREET VOOR MIJN ORGANISATIE?
‘Voor grote banken en pensioenfondsen die al veel doen aan security zal DORA niet zo spannend zijn’, verwacht De Nies. Zij kunnen een gap-analyse doen: wat doen we al en wat moet er nog gebeuren?
‘Maar de wat kleinere bedrijven staan wel voor een uitdaging. Zij moeten misschien dingen gaan doen die ze nog niet deden.’
De 5 belangrijkste elementen van DORA zijn:
- een organisatie moet een ICT Risk Management Framework hebben
- een organisatie moet een incident respons proces hebben
- testen moet vaker en wordt verplicht
- third party risks moeten in kaart zijn gebracht, dus de risico’s die je leveranciers lopen
- dreigingsinformatie delen wordt verplicht
INCIDENTPROCES UITGEBREID
Het incident response proces wordt uitgebreid, zegt De Nies: ‘Voorheen was dit proces een standaard onderdeel van het risicomanagement framework dat een organisatie al had. Maar DORA gaat een stap verder. Je moet een incident classificeren, en in bepaalde gevallen op de juiste manier melden.’
VAKER EN VERPLICHT TESTEN
De wetgeving betekent ook: meer en verplicht testen, zegt Brücker. ‘Financiële instellingen moeten één keer per drie jaar een Threat-Led Penetration Test, of TLPT, laten uitvoeren. En daarbij kunnen mogelijk ook de IT-dienstverleners worden meegenomen. Dat is op dit moment nog niet verplicht, dus dat is een verandering.’

RED TEAMING
Het type TLPT (Threat-Led Penetration Test) dat DORA verplicht gaat stellen zal waarschijnlijk een variatie zijn op de bestaande Red Teaming-standaarden. De technische reguleringsnormen op dit gebied zijn nog niet definitief.
In Nederland zal De Nederlandsche Bank toezicht houden op de nieuwe standaard. Ook kunnen eventuele bevindingen anoniem via DNB worden gedeeld.
Ben Brücker: ‘Het is belangrijk om een test uit te voeren die voldoende diepgang heeft om een goed beeld te krijgen van de cyberweerbaarheid van een bedrijf, maar wel op een manier die de test betaalbaar maakt.’
NOG NIET ALLES DUIDELIJK
Nog niet alles is helder, zegt Brücker: ‘Stel, een organisatie is gevestigd in Frankrijk en Nederland. Is het dan voldoende als die organisatie voldoet aan de Franse invulling van aan DORA? Of moet je ook de Nederlandse invulling precies volgen? Dat soort details zijn nog niet helemaal duidelijk.’
6. WAT IS DE RELATIE TUSSEN NIS2 EN DORA?
DORA is niet de enige grote cybersecurityrichtlijn die in 2025 van kracht wordt. Ook NIS2 stelt eisen aan de digitale veiligheid van bedrijven en organisaties in Europa.
Hoe verhouden die twee richtlijnen zich tot elkaar? De Nies: ‘Beide gaan over de veiligheid van ICT. Het verschil is dat DORA zich puur op de financiële sector richt en NIS2 op alle kritieke sectoren. Voor de financiële sector zal DORA leidend zijn.’
7. ZIJN ER SANCTIES ALS MIJN ORGANISATIE ZICH NIET HOUDT AAN DORA?
Ja, er komen zeker sancties, zegt Brücker. ‘De toezichthouder, waarschijnlijk de centrale bank van de lidstaten, kan een dwangsom opleggen bij het niet naleven van de richtlijn. Het gaat dan om 1% van de gemiddelde dagomzet voor iedere dag dat de organisatie zich niet houdt aan de richtlijn, en dat maximaal een half jaar lang.’
8. WAAR MOET MIJN ORGANISATIE BEGINNEN MET DORA?
01
STAP 1: BRENG RISICOMANAGEMENT IN KAART
‘Je voorbereiden op DORA begint aan de proceskant’, adviseert De Nies. ‘Het is goed om eerst te kijken of je een ICT Risk Management Framework hebt. Dat is de basis. Er zijn standaard frameworks die je kunt gebruiken als je die nog niet hebt.’
02
STAP 2: DOE EEN GAP-ANALYSE
Als de organisatie al een framework gebruikt, controleer dan of dat framework elementen mist die in de nieuwe wetgeving nodig zijn, met een gap-analyse. Is security testing al onderdeel van het risicomanagement of niet? En hoe is dat geregeld bij de leveranciers?
03
STAP 3: CHECK HET INCIDENT PROCES
Denk goed na over incident processen. Heeft de organisatie de capaciteit om incidenten goed te melden?
04
STAP 4: ZORG VOOR EEN TESTPLAN
‘Wat ga ik testen? Wanneer ga ik testen? Hoe ga ik aantonen wat ik getest heb? Zorg dat je een testprogramma of testplan hebt voor de komende jaren, en een partij met genoeg capaciteit om je daarbij te helpen’, adviseert De Nies.
Een organisatie die al een volwassen security heeft kan het beste een gap-analyse doen om te kijken welke aanvullende maatregelen voor DORA nodig zijn.
9. WAT IS HET LASTIGSTE AAN DORA?
Hoewel De Nies en Brücker positief zijn over DORA, voorzien ze ook problemen.
1. VEEL WERK
‘Ben je in je eentje CISO van een organisatie waar cyber security nog niet veel aandacht heeft gehad, dan gaat DORA je veel werk opleveren’, zegt De Nies.
‘Er komt door DORA en NIS2 zoveel werk aan voor de sector, dat er waarschijnlijk niet genoeg mensen zijn om al dit werk uit te voeren binnen de gestelde tijd. Security-mensen zijn schaars, dus dat is de eerste uitdaging.’
2. INCIDENTEN MELDEN
Je wordt verplicht om beveiligingsincidenten te melden. Maar de vraag is: hoe wordt dat gefaciliteerd?’ vraagt De Nies zich af. ‘Wat gebeurt er met die informatie? Het is voor organisaties wel spannend om dit soort incidenten te moeten melden.
3. RISICO’S BIJ DERDE PARTIJEN
Een derde uitdaging aan DORA: controle krijgen over de risico’s bij derde partijen. ‘Wat als je derde partij een kleine IT-leverancier is of een buitenlandse partij waar je niet zoveel controle op hebt? Hoe ga je dat doen? Dat is nog niet duidelijk.’

Uitnodiging
Event | How to deal with supply chain security

How do you handle cyber risks in your supply chain as a fintech, pension fund, insurance company or bank? Let's explore this together.
OVER SECURA
Secura is een toonaangevend bedrijf op het gebied van cyberbeveiliging. Onze klanten variëren van overheid en zorg tot financiën en industrie. Secura biedt technische diensten aan, zoals vulnerability assessments, penetratietesten en Red Teaming. We bieden ook certificering voor IoT en industriële omgevingen, evenals audits, forensische diensten en awarenesstrainingen.
Ons doel is om uw cyberweerbaarheid te vergroten. Wij zijn een Bureau Veritas-bedrijf. Bureau Veritas (BV) is een beursgenoteerde onderneming die gespecialiseerd is in testen, inspecteren en certificeren. BV is opgericht in 1828, heeft ruim 80.000 medewerkers en is actief in 140 landen. Secura is de hoeksteen van de cyberbeveiligingsstrategie van Bureau Veritas.