Inschrijven voor onze nieuwsbrief
Artikel

DORA-compliance: Waarom de helft van financiële instellingen nog niet klaar is, en wat je nu moet doen

27 juni 2025
Bert Sebus BCB Leader Financial Institutions Connect on Linkedin
Jelle Melker Expert Manager Connect on Linkedin

De deadline van 17 januari 2025 is voorbij. De Digital Operational Resilience Act (DORA) is officieel van kracht. Toch blijkt uit recent onderzoek van De Nederlandsche Bank dat bijna de helft van Nederlandse verzekeraars nog niet voldoet aan het verwachte niveau voor operationele risicobeheersing. In dit artikel bespreken we de belangrijkste uitdagingen en de te zetten stappen.

Uitbreiding DNB Good Practice

DORA bouwt voort op de DNB Good Practice Informatiebeveiliging. Ongeveer 44% van de controls overlappen. Dat betekent dat je niet vanaf nul hoeft te beginnen. Dat betekent natuurlijk wel dat de overige 56% nieuwe processen, systemen en werkwijzen vereist.

De grootste struikelblokken

In de praktijk zien we drie belangrijke uitdagingen:

  • Third-Party Risk Management vormt de grootste bottleneck. Het opstellen van een compleet informatieregister van ICT-dienstverleners blijkt veel complexer dan verwacht. Vooral grotere organisaties worstelen met de omvang van deze taak en het herzien van honderden bestaande contracten.
  • Incident Management brengt operationele stress met zich mee. De vereiste om ICT-incidenten binnen 4 uur te melden en binnen 24 uur een gedetailleerd rapport in te dienen, vraagt om volledig geautomatiseerde detectie- en classificatiesystemen die veel organisaties nog niet hebben.
  • Kritieke leveranciers identificeren zorgt voor hoofdbrekens bij compliance teams. Welke derde partijen zijn werkelijk cruciaal voor de operatie? Deze beoordeling bepaalt immers de diepte van de vereiste due diligence procedures.

Van principle-based naar rule-based

Het fundamentele verschil tussen DNB's principle-based aanpak en DORA's rule-based kader vereist een mentaliteitsomslag. Waar DNB-richtlijnen ruimte gaven voor interpretatie, laat DORA weinig vrijheid. Deze strikte benadering dwingt organisaties tot gedetailleerde documentatie en strikte procedures.

De weg vooruit

Een succesvolle DORA-compliance begint met een grondige gap-analyse. Organisaties die nu starten, kunnen nog steeds een solide basis leggen door zich te concentreren op de vijf hoofdpijlers: ICT-risicobeheer, incidentrapportage, weerbaarheidstesten, derde-partijen beheer en informatie-uitwisseling.

Tijd voor actie

DORA is meer dan compliance. Het is een kans om je digitale weerbaarheid structureel te versterken. Organisaties die dit als transformatiemoment benaderen, leggen een sterke basis voor toekomstige uitdagingen in het steeds digitalere financiële landschap.

Weten hoe jouw organisatie stapsgewijs DORA-compliant wordt? Download het volledige whitepaper voor een concreet stappenplan en praktische implementatiestrategieën.

Related content