DORA uitleg: wat betekent de verordening voor jouw organisatie?

Je werkt in de financiele sector, of levert software aan een bank, verzekeraar of betaalinstelling, en je hoort overal "DORA". Maar wat betekent de verordening concreet voor jouw organisatie? Dit artikel geeft je een helder beeld van wat DORA vereist, voor wie het geldt, en wat de vijf pijlers in de praktijk van je vragen.

Wat is DORA?

DORA staat voor Digital Operational Resilience Act, de Europese verordening met kenmerk EU 2022/2554. De verordening is op 16 januari 2023 in werking getreden en volledig van toepassing geworden op 17 januari 2025. Vanaf die datum moeten financiele entiteiten en kritieke ICT-dienstverleners in de EU aantoonbaar voldoen.

Het doel is concreet: de digitale operationele weerbaarheid van de Europese financiele sector versterken. Instellingen moeten kunnen aantonen dat ze ICT-verstoringen en cyberdreigingen kunnen weerstaan, erop kunnen reageren en ervan kunnen herstellen. DORA is geen richtlijn die elk land moet omzetten in nationale wetgeving. Het is een EU-verordening die direct en gelijkluidend geldt in alle EU-lidstaten. Geen nationale implementatiedeadline, geen ruimte voor afwijkende invulling. Een bank in Amsterdam voldoet aan dezelfde eisen als een betaalinstelling in Wenen.

Kan een startup binnen de scope van DORA vallen?

Ja, en dat verrast veel startups. Een veelvoorkomend voorbeeld zijn bedrijven met een AISP-licentie (Account Information Service Provider) onder PSD2. Dit zijn bedrijven die namens gebruikers toegang hebben tot financiële gegevens — denk aan budgetteringsapps of financiële dashboards — maar zelf geen financiële transacties uitvoeren.

Omdat ze een PSD2-licentie hebben, worden ze juridisch geclassificeerd als betaalinstelling onder EU-wetgeving. Dat betekent dat ze direct binnen de scope van DORA vallen. Het feit dat ze klein zijn, in een vroeg stadium zitten, of "alleen naar gegevens kijken" verandert daar niets aan.

Als je bedrijf een van de volgende licenties heeft, val je waarschijnlijk binnen de scope:

• AISP (Account Information Service Provider)
• PISP (Payment Initiation Service Provider)
• E-geldinstelling licentie
• Elke andere PSD2-gereguleerde licentie

Twijfel je? Het uitgangspunt is altijd: controleer je licentiecategorie, niet je bedrijfsomvang.

Voor wie geldt DORA?

Financiele instellingen

De verordening geldt voor circa twintig categorieën financiele entiteiten. Denk aan banken, verzekeraars, beleggingsondernemingen, betaalinstellingen, instellingen voor elektronisch geld, aanbieders van cryptoactivadiensten, centrale tegenpartijen, fondsenbeheerders, kredietbeoordelingsbureaus, pensioenfondsen en crowdfundingplatformen. Dat is meer dan de meeste mensen verwachten. "DORA is alleen voor banken" is een hardnekkig misverstand, meer daarover verderop.

Kan een startup binnen de scope van DORA vallen?

Ja, en dat verrast veel startups. Een veelvoorkomend voorbeeld zijn bedrijven met een AISP-licentie (Account Information Service Provider) onder PSD2. Dit zijn bedrijven die namens gebruikers toegang hebben tot financiële gegevens — denk aan budgetteringsapps of financiële dashboards — maar zelf geen financiële transacties uitvoeren. Omdat ze een PSD2-licentie hebben, worden ze juridisch geclassificeerd als betaalinstelling onder EU-wetgeving. Dat betekent dat ze direct binnen de scope van DORA vallen. Het feit dat ze klein zijn, in een vroeg stadium zitten, of "alleen naar gegevens kijken" verandert daar niets aan. Als je bedrijf een van de volgende licenties heeft, val je waarschijnlijk binnen de scope:

• AISP (Account Information Service Provider)
• PISP (Payment Initiation Service Provider)
• E-geldinstelling licentie
• Elke andere PSD2-gereguleerde licentie

Twijfel je? Het uitgangspunt is altijd: controleer je licentiecategorie, niet je bedrijfsomvang.

Kritieke ICT-dienstverleners

Naast de financiele instellingen zelf kunnen ook ICT-leveranciers rechtstreeks onder DORA vallen. Cloudproviders, softwareleveranciers en data-analyticsbedrijven die kritieke diensten leveren aan financiele entiteiten kunnen door de Europese toezichtautoriteiten (ESAs) worden aangewezen als Critical Third-Party Provider (CTPP). Op 18 november 2025 wezen de ESAs de eerste negentien CTPP's aan, waaronder grote cloudproviders en marktdata-aanbieders. Een aangewezen CTPP valt onder direct Europees toezicht, met een lead overseer.

Lever jij software aan een bank of verzekeraar zonder zelf een CTPP te zijn? Dan ben je niet direct DORA-plichtig, maar zul je contractueel wel aan DORA-eisen moeten voldoen. Jouw klant is verplicht om die eisen in het contract op te nemen.

Proportionaliteit

DORA past de verplichtingen aan op omvang en risicoprofiel. Een specifieke groep (kleine en niet-verbonden beleggingsondernemingen, uitgezonderde betaalinstellingen, kleine pensioeninstellingen) mag een vereenvoudigd ICT-risicobeheerkader hanteren onder Article 16. Micro-ondernemingen met minder dan 10 medewerkers en €2 miljoen omzet krijgen daarnaast specifieke vrijstellingen. Kleiner betekent minder last, maar geen vrijstelling.

De vijf pijlers van DORA

1. ICT-risicobeheer

Elke financiele entiteit moet een gedocumenteerd ICT-risicobeheerframework hebben. Dat raamwerk dekt identificatie, bescherming, detectie, respons en herstel. Het bestuur is hier eindverantwoordelijk voor, dat staat expliciet in de verordening. Een risicobeoordeling van de ICT-omgeving is de eerste stap, gevolgd door concrete beheersmaatregelen per geidentificeerd risico. Geen eenmalig project, maar een doorlopend beheerproces.

2. Incidentrapportage

Significante ICT-incidenten moeten worden gemeld bij de bevoegde nationale toezichthouder, in Nederland de DNB of de AFM afhankelijk van het type entiteit. De tijdlijn is strak. Een initieel rapport moet zo snel mogelijk worden ingediend, in elk geval binnen 4 uur na classificatie als groot incident, met een uiterste termijn van 24 uur na bewustwording. Daarna volgt een tussentijds rapport binnen 72 uur na de initiele melding, en een eindrapport binnen één maand. Dit is strenger dan de meldplicht onder NIS2. Interne classificatieprocedures moeten er nu al liggen.

3. Digitale operationele weerbaarheidstests

ICT-systemen moeten regelmatig worden getest. Dat begint bij basisweerbaarheidstests voor alle entiteiten: vulnerability assessments, scenario-analyses, netwerkpenetratietests. Entiteiten die door de bevoegde autoriteit op basis van hun risicoprofiel worden aangewezen, moeten daarnaast minstens elke drie jaar een Threat-Led Penetration Test (TLPT) uitvoeren, waarbij ethische hackers de methoden van echte aanvallers nabootsen. Testresultaten vormen bewijs richting de toezichthouder.

4. ICT-risicobeheer bij derde partijen

Dit is de pijler die veel organisaties verrast. DORA vereist dat je het risico van al je ICT-leveranciers actief beheert. Dat begint voor het sluiten van een contract: due diligence, geschiktheidstoets, risicoafweging. Daarna stelt DORA contractuele minimumeisen: exitstrategieën, auditrechten, SLA-definities, locatie van dataverwerking. Een register van alle ICT-leveranciersarrangementen is verplicht en wordt jaarlijks aan de toezichthouder gerapporteerd. Je kunt dit bijhouden via een risicoregister dat per leverancier de contractuele status en de risicoklasse vasthoudt.

5. Informatie-uitwisseling

DORA moedigt financiele entiteiten aan om informatie over cyberdreigingen en kwetsbaarheden onderling te delen. Geen harde verplichting, maar een actieve stimulans. Deelname aan sectorale informatiedeelplatformen draagt bij aan een sterker collectief weerbaarheidsbeeld.

Wat DORA concreet van jouw organisatie vraagt

In de kern moet je vijf dingen kunnen aantonen: bestuurlijke goedkeuring van het ICT-risicobeheerframework, een gedocumenteerd ICT-risicoframework met risicobeoordeling en beheersmaatregelen, een werkend classificatie- en meldproces voor incidenten met de juiste tijdlijnen, reguliere weerbaarheidstests met gedocumenteerde uitkomsten, en een leveranciersregister waarin alle ICT-arrangementen contractueel voldoen aan de DORA-minimumeisen. Het bestuur is eindverantwoordelijk. Dit is geen IT-onderwerp dat je delegeert. Ontbrekende contractuele bepalingen bij bestaande leveranciers moeten bij de eerstvolgende contractverlenging worden toegevoegd.

DORA versus NIS2

Zowel DORA als NIS2 richten zich op cyberweerbaarheid, maar ze werken anders naast elkaar. DORA is lex specialis voor de financiele sector en heeft voorrang op NIS2 voor de overlappende verplichtingen. Een bank die onder DORA valt, hoeft voor die overlap niet apart aan NIS2 te voldoen.

NIS2 is breder, met meerdere sectoren waaronder energie, transport en gezondheidszorg. DORA is dieper en meer prescriptief voor de financiele sector. Eén nuance: ICT-leveranciers die financiele entiteiten bedienen kunnen onafhankelijk van DORA toch onder NIS2 vallen, zeker als ze ook andere sectoren bedienen of zelfstandig als essentieel of belangrijk worden aangemerkt. Voor leveranciers is het dus zaak om beide regelingen te beoordelen. Een GRC-aanpak waarbij DORA en NIS2 vanuit een gedeeld raamwerk worden beheerd, voorkomt dubbel werk.

Veelgemaakte misverstanden

"DORA is alleen voor banken." Onjuist. Circa twintig typen financiele entiteiten vallen onder de verordening, van cryptodienstverleners tot crowdfundingplatformen.

"DORA is een IT-onderwerp." Onjuist. DORA legt bestuurlijke eindverantwoordelijkheid expliciet vast. Het bestuur keurt het ICT-risicobeheerframework goed en is verantwoordelijk voor de implementatie. Dit raakt inkoop, continuiteitsplanning en crisisbeheer.

"We moeten een DORA-certificering halen." Onjuist. Er bestaat geen DORA-certificering. Compliance wordt beoordeeld door de toezichthouder, de DNB of de AFM, via toezichtgesprekken en inspecties. Wat je nodig hebt is bewijs: beleid, procedures, testresultaten, registergegevens.

"We moeten voldoen aan zowel DORA als NIS2." Onjuist. Voor financiele entiteiten heeft DORA voorrang voor de overlappende verplichtingen. Beoordeel per verplichting welk kader leidend is.

Hoe je begint

DORA-compliance hoef je niet in een keer neer te zetten, maar de basis moet staan. Vijf stappen:

Stap 1: Bepaal of jouw organisatie in scope valt. Financiële entiteit, aangewezen CTPP, of indirecte ICT-leverancier? Vergeet ook minder voor de hand liggende licentiecategorieën niet, een AISP- of PISP-licentie onder PSD2 classificeert je bedrijf als betaalinstelling en plaatst je daarmee direct binnen de scope. Leg de scopeconclusie schriftelijk vast.

Stap 2: Breng je ICT-assets en derde-partij afhankelijkheden in kaart. Welke systemen zijn kritiek? Welke leveranciers leveren kritieke diensten? Zonder dit overzicht kun je geen risicoframework bouwen.

Stap 3: Beoordeel je huidige ICT-risicobeheerframework. Heb je een gedocumenteerd raamwerk? Zijn de vijf pijlers gedekt? Identificeer de gaten.

Stap 4: Pak de directe verplichtingen als eerste aan. ICT-risicoregister, intern incidentmeldproces met de juiste tijdlijnen, en een leveranciersregister met contractuele minimumeisen.

Stap 5: Wijs bestuurlijke eigenaarschap toe. Iemand op bestuursniveau is verantwoordelijk voor het ICT-risicobeheerframework. Documenteer dat formeel.

Tidal Control ondersteunt DORA-compliance door organisaties te helpen het ICT-risicobeheer te structureren, controls bij te houden, derde-partijrisico te beheren en de bewijsvoering op orde te houden die toezichthouders verwachten. Na: Tidal Control ondersteunt DORA-compliance concreet op de onderdelen waar de meeste organisaties vastlopen:

ICT-risicoregister: structureer en documenteer je risico's en beheersmaatregelen in één overzicht, klaar voor toezichtgesprekken. Leveranciersregister: Tidal draait automatisch een volledig vendorregister uit met contractuele status en risicoklassificatie per leverancier — precies wat DNB en AFM verwachten. Controls bijhouden: volg de status van je DORA-controls en verzamel automatisch bewijs via integraties met je bestaande systemen. Derde-partijrisico: beheer contractuele minimumeisen per leverancier en houd exitstrategieën en auditrechten actueel. Incidentbeheer: leg classificaties en meldingen vast met de juiste tijdlijnen, zodat je bij een incident niet op zoek bent naar de procedure.

Zo ben je niet alleen klaar voor je eerste DORA-audit, maar ook voor alle vervolgcontroles zonder dat het elke keer een handmatig project wordt.

Niet zeker waar te beginnen?

Doe de gratis Quickscan en ontdek in vijf minuten waar jouw organisatie staat en wat je als eerste kunt aanpakken.

Doe de gratis Quickscan →

Veelgestelde vragen over DORA

Wat betekent DORA voor een kleine betaalinstelling?

Proportionaliteit geldt. Kleine en niet-verbonden beleggingsondernemingen en uitgezonderde betaalinstellingen mogen onder Article 16 een vereenvoudigd ICT-risicobeheerkader hanteren. Micro-ondernemingen krijgen daarnaast aanvullende vrijstellingen. De kernverplichtingen (een gedocumenteerd risicoframework, een incidentmeldproces en een leveranciersregister) gelden voor iedereen binnen scope. De lat ligt lager in detail, niet in scope.

Geldt DORA ook voor mijn softwarebedrijf als ik aan banken lever?

Als jouw softwarebedrijf door de ESAs wordt aangewezen als CTPP, val je rechtstreeks onder DORA-toezicht. Ben je niet aangewezen, dan ben je niet direct DORA-plichtig. Jouw klanten zijn wel verplicht om DORA-contracteisen op te nemen: exitstrategieën, auditrechten, SLA-afspraken. Je voelt DORA dus indirect via contractdruk.

Wat is het verschil tussen DORA en NIS2?

DORA is specifiek voor de financiele sector en heeft voorrang op NIS2 voor financiele entiteiten bij overlappende verplichtingen. NIS2 is breder: meer sectoren, minder prescriptief. Voor ICT-leveranciers die meerdere sectoren bedienen kunnen beide van toepassing zijn.

Hoe streng zijn de incidentmeldtijdlijnen?

Streng. Een initieel rapport binnen 4 uur na classificatie als groot incident, met een backstop van 24 uur na bewustwording. Een tussentijds rapport binnen 72 uur na de initiele melding, en een eindrapport binnen één maand. Dat vereist dat je intern al een classificatieproces hebt lopen voordat een incident zich voordoet.

Is er een DORA-certificering die je kunt halen?

Nee. DORA is een wettelijke verplichting, geen certificeringsschema. Er bestaat geen DORA-certificaat. Compliance toon je aan via beleid, procedures, testresultaten en registergegevens. De DNB of de AFM beoordeelt dit via toezichtgesprekken en inspecties.