DORA (Digital Operational Resilience Act)
DORA is de EU-verordening (van kracht sinds 17 januari 2025) die financiële instellingen verplicht tot robuuste IT-risicobeheersing, incident-reporting en streng toezicht op kritieke derde partijen zoals cloud-providers.
DORA harmoniseert operationele resilientie-regels voor alle financiële entiteiten in de EU: banken, verzekeraars, beleggingsondernemingen, crypto-dienstverleners (onder MiCA) en kritieke ICT-providers. Vijf pijlers: ICT-risicomanagement, ICT-incident-melding, resilience-testing (waaronder TLPT pen-tests), third-party risk management, informatie-delen. Niet-naleving: boetes tot 2% van wereldwijde omzet. Praktisch gevolg: gedetailleerde registers van ICT-contracten, exit-strategieën, forse compliance-investeringen.
Voorbeeld
Een Nederlandse challenger-bank gebruikt AWS voor alle productie. Onder DORA: register van contract, exit-plan binnen 12 maanden, regelmatig joint testing, melding van significant incidents binnen 4 uur aan DNB/ESMA.
Veelgestelde vragen
Geldt DORA ook voor fintech-startups?
Ja, als ze onder reguleerd financieel label vallen (EMI, PI, crypto-CASP). Proportionaliteit: regels schaalbaar aan omvang, maar basisverplichtingen voor iedereen.
Wat is TLPT?
Threat-Led Penetration Testing: geavanceerde, aanvalscenario-gebaseerde pen-tests. Verplicht voor grote financiële entiteiten elke 3 jaar. Gecertificeerde testers, TIBER-EU-framework als basis.
Overlap met NIS2?
Ja, maar DORA is lex specialis voor financiële sector. Als entiteit onder DORA valt, gelden DORA-regels ipv NIS2. Voor niet-financiële ICT-providers aan banken: NIS2 + DORA-plichten via contract.
Gerelateerde termen
Verder lezen
- → Onze dienst: Bitcoin & Fintech