DORA

Alles over DORA

In onze cheat sheet geven we een compact overzicht van de belangrijkste verplichtingen van DORA, zoals risicobeheer, ICT-contractering, incidentmelding en auditvereisten. Handig voor bestuurders, compliance- en IT-teams die zich willen voorbereiden op de inwerkingtreding van DORA.

Download nu

Wat is DORA?

DORA is een verordening van de Europese Unie (“EU”) gericht op het versterken van de digitale weerbaarheid van financiële instellingen tegen cyberdreigingen en ICT-gerelateerde risico's. Het verplicht financiële instellingen om maatregelen te implementeren voor onder andere risicobeheer, beveiliging van ICT-systemen en incidentrapportage. Het doel is dat alle EU-landen dezelfde regels volgen, zodat het financiële systeem overal beter wordt beschermd tegen digitale verstoringen.

Op welke organisaties is DORA van toepassing?

DORA is primair van toepassing op “financiële entiteiten”. Het begrip “financiële entiteiten” is erg breed. Hieronder vallen bijvoorbeeld banken, betaaldienstverleners, verzekeringsmaatschappijen, instellingen voor elektronisch geld en beleggingsondernemingen.

Daarnaast is DORA van toepassing op leveranciers van ICT-diensten aan financiële instellingen. Hiermee beoogt DORA niet alleen de financiële instellingen zelf beter weerbaar te maken, maar ook de ICT-systemen en –diensten die zij gebruiken via derde partijen. DORA kan zelfs van toepassing zijn op ICT-dienstverleners buiten de EU, wanneer zij hun diensten leveren aan financiële instellingen die wel in een EU-lidstaat gevestigd zijn en moeten voldoen aan DORA.

Wat zijn de vijf pijlers van DORA?

DORA is opgedeeld in vijf pijlers. Elke pijler is van cruciaal belang voor het creëren van een veilige en betrouwbare digitale financiële omgeving:

ICT Risico Management - Organisaties zijn verplicht te beschikken over een gedegen kader voor het ICT-risicobeheer.
Incident Management - Organisaties zijn verplicht melding te doen van ernstige ICT-gerelateerde incidenten en, op vrijwillige basis, van significante cyberdreigingen aan de bevoegde autoriteiten.
Weerbaarheidstesten - Organisaties zijn verplicht om regelmatig hun digitale operationele weerbaarheid te testen.
Derde partijen ICT Risico Management - Organisaties zijn verplicht een gedegen kader vast te stellen voor het beheer van risico’s van (kritieke) externe ICT-dienstverleners.
Informatie-uitwisseling - Organisaties worden aangemoedigd informatie en kennis met betrekking tot cyberdreigingen en -kwetsbaarheden te delen binnen vertrouwde financiële gemeenschappen.

Welke sancties gelden onder DORA?

Niet-naleving van DORA kan leiden tot forse boetes en andere maatregelen. Toezichthouders zoals DNB kunnen onder meer:

Documenten en gegevens opvragen, inclusief inspecties en onderzoeken
Eisen dat overtredingen worden gestaakt (tijdelijk of definitief)
Openbaar maken van overtredingen, inclusief naam van de organisatie
Boetes opleggen aan financiële instellingen
Verzoeken om specifieke dataverkeer-overzichten van telecomdiensten

Daarnaast kunnen EU-lidstaten strafrechtelijke maatregelen toepassen wanneer nationale wetgeving dat voorschrijft.

Kritieke IT-dienstverleners riskeren dwangsommen tot 1% van de wereldwijde gemiddelde dagomzet, die dagelijks kunnen worden opgelegd tot volledige compliance.

Veelgestelde vragen over DORA

Wat is de tijdlijn van DORA?

17 januari 2023: DORA is in werking getreden.
17 januari 2024: De eerste reeks van gewenste Regulatory Technical Standards worden uitgegeven.
17 juli 2024: De tweede en laatste reeks van Regulatory Technical Standards worden uitgegeven.
17 januari 2025: Volledige compliance met DORA en Regulatory Technical Standards vereist

Welke financiële entiteiten vallen onder DORA?

Alle financiële entiteiten die onder DORA vallen zijn:

Kredietinstellingen
Betalingsinstellingen
Aanbieders van rekeninginformatiediensten
Instellingen voor elektronisch geld
Beleggingsondernemingen
Aanbieders van cryptoactivadiensten
Centrale effectenbewaarinstellingen
Centrale tegenpartijen
Handelsplatformen
Transactieregisters
Beheerders van alternatieve beleggingsinstellingen
Beheermaatschappijen
Aanbieders van datarapporteringsdiensten
Verzekerings- en herverzekeringsondernemingen
(Her/neven) verzekeringstussenpersonen
Instellingen voor bedrijfspensioenvoorziening
Ratingbureaus
Beheerders van kritieke benchmarks
Aanbieders van crowdfundingdiensten
Securisatieregisters

Maakt DORA onderscheidt in grootte van de entiteiten?

Ja, DORA maakt onderscheid in grootte van de entiteiten. Zo zijn er bijvoorbeeld minder zware vereisten (voor bepaalde vormen van financiële instellingen) voor:

Micro-ondernemingen (een financiële entiteit die geen handelsplatform, centrale tegenpartij, transactieregister of centrale effectenbewaarinstelling is, en waar minder dan 10 personen werkzaam zijn en waarvan de jaaromzet en/of het jaarlijkse balanstotaal niet hoger liggen dan 2 miljoen euro);
Kleine ondernemingen (een financiële entiteit met 10-50 werknemers en een jaaromzet en/of een jaarlijks balanstotaal van meer dan 2-10 miljoen euro); en
Middelgrote ondernemingen (een financiële entiteit met 51-250 werknemers en een jaaromzet van ten hoogste 50 miljoen euro en/of een jaarlijkse balans van ten hoogste 43 miljoen euro).

Hoe verhouden DORA en NIS2 zich tot elkaar?

DORA moet in samenhang worden gezien met de NIS2-richtlijn, waarin onder andere verplichtingen op het gebied van cybersecurityriskmanagement en meldplichten voor incidenten zijn vastgelegd. De NIS2-richtljn is de opvolger van de oude Europese richtlijn voor ‘Network Information Security’ (“NIS”).

Om deze reden is er ook een overlap met de NIS2-richtlijn, aangezien beiden soortgelijke verplichtingen bevatten. De reikwijdte van de NIS2-richtlijn is echter groter: NIS2 is van toepassing op organisaties in kritieke sectoren, zoals infrastructuur, gezondheidszorg, digitale infrastructuur en het bankwezen. Welke organisaties hier specifiek onder vallen, is opgenomen in de bijlagen van NIS2. De NIS2-richtlijn is ook van toepassing op een aantal financiële instellingen. De NIS2-richtlijn en DORA kunnen dus tegelijkertijd van toepassing zijn op jouw organisatie. Wanneer er overlap of conflict is tussen deze twee stukken wetgeving, krijgt DORA voorrang.

Waar DORA een verordening is en dus direct van toepassing in alle EU-lidstaten, moet de NIS2-richtlijn nog worden omgezet in nationaal recht (de Nederlandse Cyberbeveiligingswet). Op het moment dat de Cyberbeveiligingswet wordt aangenomen, zal deze de huidige Wet beveiliging netwerk- en informatiesystemen (“Wbni”) vervangen.

Meer over DORA

Security compliance | Blog | Digital Decade | ISO 27001 | DORA

Bekijk al onze artikelen

Bekijk het overzicht

Meer informatie ontvangen?

Laat een bericht achter via het formulier. Een van onze juridisch adviseurs neemt dan contact met je op.

Wanneer je een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek: telefonisch, bij ons op kantoor of bij jou op locatie.

Wat betekent DORA voor jouw organisatie?

Alles over DORA

Wat is DORA?

Op welke organisaties is DORA van toepassing?

Wat zijn de vijf pijlers van DORA?

Welke sancties gelden onder DORA?

Veelgestelde vragen over DORA

Meer over DORA

De Wereld Draait DORA deel 2 – de voordelen van ISO 27001 voor compliance

De Wereld Draait DORA deel 1 – Let op bij standaard DORA contracten

DORA: laat het feest niet in het water vallen

Meer informatie ontvangen?

Laat je gegevens achter