ICT-risicobeheer onder DORA (Digital Operational Resilience Act) verwijst naar de specifieke en gedetailleerde vereisten die financiële entiteiten in de EU moeten implementeren om ICT-gerelateerde risico's en incidenten te identificeren, zich ertegen te beschermen, te detecteren, erop te reageren en ervan te herstellen. DORA gaat verder dan algemeen risicobeheer door specifieke capaciteiten voor te schrijven, zoals ICT-assetmanagement, threat-led penetratietesten, toezicht op externe ICT-dienstverleners en gedetailleerde incidentclassificatie en -rapportage binnen strikte termijnen.
DORA is van toepassing op een breed scala aan financiële entiteiten, waaronder banken, verzekeringsmaatschappijen, beleggingsondernemingen en hun kritieke ICT-dienstverleners, met compliance vereist vanaf januari 2025. Organisaties moeten een uitgebreid ICT-risicobeheerraamwerk vaststellen dat is goedgekeurd door het senior management, regelmatig digitale operationele weerbaarheidstesten uitvoeren en gedetailleerde registers bijhouden van alle ICT-arrangementen met derden, waardoor het een van de meest voorschrijvende regelgevingskaders is voor operationeel technologierisico in de financiële sector.