Finance
DORA: Wat Nederlandse bedrijven moeten weten over digitale operationele weerbaarheid
Wat DORA betekent voor Nederlandse financiële instellingen en ICT-dienstverleners: toepassingsgebied, ICT-risicobeheer, incidentenrapportage, toezicht door DNB en AFM, en mogelijke boetes.
•
17 min.
Intro
Sinds 17 januari 2025 gelden in de hele Europese Unie nieuwe regels voor digitale weerbaarheid in de financiële sector. Banken, betaalinstellingen, fintechs, verzekeraars en andere financiële ondernemingen moeten onder DORA aantonen dat hun systemen bestand zijn tegen cyberaanvallen, technische storingen en uitval van externe IT-leveranciers. Voor veel bedrijven gaat het niet alleen meer over cybersecurity, maar over governance, leveranciersbeheer, incidentrapportage en bestuurdersverantwoordelijkheid.
De impact van DORA reikt bovendien verder dan alleen gereguleerde financiële instellingen. Ook softwarebedrijven, cloudproviders en andere ICT-dienstverleners die technologie leveren aan banken, payment providers of verzekeraars kunnen met DORA te maken krijgen. Een Nederlandse SaaS-provider die infrastructuur levert aan een financiële instelling valt mogelijk al binnen het bereik van de regels, zelfs als het bedrijf zelf geen financiële vergunning heeft. Wie nadenkt over een bedrijf starten in Nederland in fintech of financiële dienstverlening, doet er goed aan DORA-verplichtingen vroeg in de planning mee te nemen.
Voor Nederlandse ondernemingen betekent dit dat digitale operationele risico's niet langer uitsluitend een IT-onderwerp zijn. Bestuurders van een Nederlandse bv moeten kunnen aantonen dat risico's worden beheerd, incidenten tijdig worden gemeld en kritieke leveranciers onder controle staan. Dat vraagt niet alleen om technische maatregelen, maar ook om documentatie, processen en duidelijke verantwoordelijkheid binnen de organisatie.
Wat Is DORA en Waarom Bestaat Het?
DORA staat voor de Digital Operational Resilience Act, officieel Verordening (EU) 2022/2554. De verordening werd gepubliceerd in december 2022, trad in werking in januari 2023 en is sinds 17 januari 2025 verplicht van toepassing in alle EU-lidstaten. Het doel van DORA is relatief eenvoudig: financiële ondernemingen moeten digitale verstoringen kunnen voorkomen, opvangen en herstellen zonder dat essentiële financiële diensten stilvallen.
De aanleiding voor DORA lag in de versnipperde Europese aanpak van ICT-risico's. Voorheen hanteerden lidstaten verschillende regels rond cybersecurity, outsourcing en operationele continuïteit. Daardoor ontstonden grote verschillen tussen landen en sectoren. Tegelijkertijd werd de financiële sector steeds afhankelijker van een klein aantal cloudproviders, softwareplatformen en externe IT-partijen. Een storing bij één leverancier kon plotseling honderden financiële instellingen tegelijk raken.
DORA creëert daarom één uniform Europees kader voor digitale operationele weerbaarheid. Anders dan een richtlijn is DORA een verordening. Dat betekent dat de regels rechtstreeks gelden in alle EU-landen zonder aparte nationale omzetting. Nederlandse bedrijven hoeven dus niet te kijken naar een "Nederlandse versie" van DORA: de Europese tekst zelf vormt de wet.
In Nederland is aanvullende wetgeving vooral gebruikt om toezicht en handhaving te organiseren. De Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) zijn aangewezen als bevoegde toezichthouders.
Geldt DORA voor Jouw Nederlandse Bedrijf?
Veel ondernemers denken dat DORA alleen relevant is voor grote banken. In werkelijkheid is de reikwijdte veel breder. De regels gelden voor duizenden financiële ondernemingen in Europa, waaronder:
banken
betaalinstellingen
e-money instellingen
verzekeraars
pensioenfondsen
beleggingsondernemingen
crypto-aanbieders onder MiCA
fondsbeheerders
handelsplatformen
Voor Nederlandse fintechs is vooral belangrijk dat DORA ook impact heeft op ICT-dienstverleners. Lever je software, cloudinfrastructuur, cybersecuritydiensten, data-analyse of managed IT-oplossingen aan gereguleerde financiële partijen? Dan kunnen delen van DORA indirect of direct op jouw bedrijf van toepassing zijn. Heb je al je kvk-nummer aangevraagd als technologiebedrijf dat financiële klanten bedient, dan is het raadzaam je DORA-blootstelling vroeg te beoordelen.
Dit verrast veel Nederlandse SaaS-bedrijven. Een softwarebedrijf zonder financiële vergunning kan alsnog te maken krijgen met:
contractuele DORA-verplichtingen vanuit klanten
auditrechten van financiële instellingen
strengere security-eisen
verplichte incidentmeldprocedures
eisen rond leveranciersbeheer en exitstrategieën
Voor kleine ondernemingen bestaan wel vereenvoudigde regimes. Microbedrijven met minder dan tien werknemers en minder dan twee miljoen euro omzet krijgen op bepaalde onderdelen lichtere verplichtingen. De kernverplichtingen rond ICT-risicobeheer blijven echter bestaan.
In Nederland ligt het toezicht grotendeels bij:
DNB voor banken, verzekeraars en pensioenfondsen
AFM voor beleggingsondernemingen, crypto-aanbieders en delen van de kapitaalmarkt
gezamenlijke toezichtstructuren voor bepaalde payment- en ICT-activiteiten
Hoe Werkt DORA-toezicht in Nederland?
De Nederlandse implementatiewet trad tegelijk met DORA in werking op 17 januari 2025. Daarmee kregen AFM en DNB formeel de bevoegdheid om toezicht te houden op naleving van de regels. Beide toezichthouders zijn al sinds 2023 bezig met de voorbereiding van de markt. Ze publiceerden guidance, organiseerden consultaties en spraken actief met financiële instellingen over hun implementatieplannen. In de praktijk draaide 2025 vooral om overgangsbegeleiding en inventarisatie van tekortkomingen.
Sinds 2026 verschuift de nadruk duidelijk richting handhaving. Daarbij kijken toezichthouders vooral naar:
governance en bestuurdersverantwoordelijkheid
incidentrapportage binnen de vereiste deadlines
kwaliteit van ICT-risicobeheer
volledigheid van third-party registers
afhankelijkheid van kritieke cloudproviders
Voor veel Nederlandse ondernemingen vervangt DORA bestaande ICT-regels niet volledig. De nieuwe verplichtingen komen bovenop bestaande eisen uit de Wft, NIS2 en sectorspecifieke richtlijnen. Dat betekent dat bedrijven hun bestaande compliance-frameworks moesten toetsen aan de veel specifiekere DORA-eisen.
De Vijf Pijlers van DORA
DORA verdeelt digitale weerbaarheid in vijf grote onderdelen: ICT-risicobeheer, incidentmanagement en rapportage, digitale resilience testing, third-party ICT-risicobeheer en informatie-uitwisseling over cyberdreigingen.
Belangrijk daarbij is dat DORA digitale risico's expliciet op bestuursniveau legt. Het bestuur blijft eindverantwoordelijk voor de digitale weerbaarheid van de onderneming. Die verantwoordelijkheid kan niet volledig worden doorgeschoven naar IT-teams of externe leveranciers. Voor veel Nederlandse fintechs en scale-ups is dat een fundamentele verandering. Waar cybersecurity vroeger vooral operationeel werd behandeld, verlangt DORA nu formele governance, documentatie en periodieke bestuursgoedkeuring.
ICT-risicobeheer Onder DORA
De eerste pijler van DORA verplicht ondernemingen om een volledig ICT-risicobeheerframework op te zetten. Dat framework moet continu inzicht geven in welke systemen en assets bestaan, welke risico's eraan verbonden zijn, welke afhankelijkheden er zijn, hoe incidenten worden opgeschaald en hoe herstel plaatsvindt na verstoringen.
In de praktijk betekent dit dat organisaties een actuele inventaris moeten hebben van:
applicaties
cloudomgevingen
databronnen
leveranciers
kritieke processen
afhankelijkheden tussen systemen
Daarnaast moeten bedrijven procedures hebben voor detectie van incidenten, escalatie, crisismanagement, business continuity en disaster recovery. Papieren procedures alleen zijn niet voldoende. DNB kijkt nadrukkelijk naar operationele uitvoerbaarheid. Een business continuity plan dat nooit getest is, voldoet in de praktijk niet aan DORA. Het bestuur moet het framework bovendien minimaal jaarlijks beoordelen en formeel goedkeuren. Voor dga's is die bestuurdersverantwoordelijkheid rechtstreeks vergelijkbaar met de aansprakelijkheidsprincipes die gelden bij het beheer van een holding en werkmaatschappij.
Incidentmeldingen: de Strenge DORA-deadlines
DORA introduceert strikte meldverplichtingen voor grote ICT-incidenten. Niet elk incident hoeft direct gemeld te worden, maar ondernemingen moeten wel een formeel classificatiesysteem hebben om te bepalen wanneer een incident major is.
Bij die beoordeling wordt gekeken naar aantal getroffen klanten, duur van de verstoring, geografische impact, dataverlies, financiële schade, reputatieschade en impact op de financiële sector.
Wordt een incident als major geclassificeerd, dan gelden harde deadlines.
Verplichting | Deadline |
|---|---|
Eerste melding | Binnen 4 uur na classificatie |
Tussenrapport | Binnen 72 uur |
Eindrapport | Binnen 1 maand na oplossing |
Voor veel organisaties zijn vooral de eerste vier uur uitdagend. Dat vereist duidelijke interne escalatie, vooraf gedefinieerde verantwoordelijkheden, incident playbooks en directe beschikbaarheid van compliance- en legalteams. Wanneer een cyberincident ook persoonsgegevens raakt, kunnen daarnaast GDPR-meldingen verplicht zijn richting de Autoriteit Persoonsgegevens. Daardoor lopen DORA- en privacyverplichtingen vaak parallel.
DORA-testing en TIBER-NL
DORA vereist dat bedrijven hun digitale weerbaarheid actief testen. Het gaat dus niet alleen om documentatie, maar om aantoonbare operationele capaciteit.
Alle in-scope ondernemingen moeten periodiek:
vulnerability assessments uitvoeren
penetratietests doen
kwetsbaarheden documenteren
herstelmaatregelen implementeren
Voor grotere of systeemkritieke instellingen geldt een zwaarder regime: Threat-Led Penetration Testing (TLPT). Daarbij simuleren gespecialiseerde teams realistische cyberaanvallen op productieomgevingen. In Nederland gebeurt dit via TIBER-NL, het Nederlandse raamwerk gebaseerd op TIBER-EU van de ECB. DNB speelt hierin een centrale rol.
TLPT gaat veel verder dan standaard pentests. Het doel is niet alleen technische kwetsbaarheden vinden, maar testen of een organisatie een geavanceerde aanval daadwerkelijk kan detecteren, beheersen en herstellen.
Third-party Risico's en Cloudproviders
Het meest ingrijpende onderdeel van DORA voor veel ondernemingen is waarschijnlijk het beheer van externe ICT-leveranciers. Financiële instellingen moeten een volledig overzicht bijhouden van alle ICT-partijen waarop zij afhankelijk zijn. Dat gebeurt via het verplichte Register of Information (ROI).
Dat register bevat onder andere:
leverancier
type dienstverlening
kritieke afhankelijkheden
contractstructuur
sub-outsourcing
exitmogelijkheden
Daarnaast stelt DORA strenge eisen aan contracten met ICT-leveranciers. Contracten moeten onder meer bevatten:
auditrechten
incidentmeldprocedures
service levels
exitstrategieën
subprocessor-transparantie
beëindigingsrechten
Voor Nederlandse SaaS- en cloudbedrijven betekent dit dat klanten contracten steeds vaker willen heronderhandelen.
De 19 Kritieke ICT-providers Onder DORA
In 2025 publiceerden de Europese toezichthouders de eerste lijst van Critical ICT Third-Party Providers (CTPPs), waaronder AWS, Microsoft Azure, Google Cloud, Oracle, SAP, IBM, Accenture en Capgemini. Deze partijen vallen onder direct Europees toezicht.
Voor financiële instellingen betekent dit extra aandacht voor concentratierisico. Wanneer één cloudprovider meerdere kritieke processen ondersteunt, ontstaat kwetsbaarheid bij storingen of uitval. DORA verlangt daarom dat ondernemingen:
afhankelijkheden in kaart brengen
concentratierisico beoordelen
realistische exitstrategieën ontwikkelen
fallbackscenario's documenteren
DORA versus GDPR en NIS2
Veel Nederlandse bedrijven krijgen tegelijkertijd te maken met DORA, GDPR en NIS2. Hoewel die frameworks overlap hebben, richten ze zich op verschillende onderdelen van digitale risico's.
GDPR draait primair om bescherming van persoonsgegevens en datalekmeldingen.
NIS2 richt zich breder op cybersecurity van essentiële en belangrijke sectoren.
DORA focust specifiek op digitale operationele weerbaarheid in de financiële sector, inclusief governance, testing en leveranciersbeheer.
In de praktijk kunnen alle drie tegelijk gelden. Een cyberaanval kan bijvoorbeeld leiden tot:
DORA-melding aan DNB of AFM
GDPR-melding aan de Autoriteit Persoonsgegevens
NIS2-verplichtingen
meldingen aan klanten en contractspartijen
Daarom bouwen veel ondernemingen inmiddels geïntegreerde incident response workflows.
Wat Nederlandse Bedrijven Nu Moeten Doen
Voor veel bedrijven is DORA geen toekomstproject meer, maar een actuele complianceverplichting.
Praktische prioriteiten zijn:
vaststellen of DORA van toepassing is
ICT-assets en leveranciers in kaart brengen
contracten beoordelen
incidentprocedures testen
governance documenteren
resilience testing plannen
concentratierisico analyseren
registers opbouwen
bestuursdocumentatie verbeteren
Vooral kleinere fintechs onderschatten vaak hoeveel documentatie en governance DORA vereist. Veel complianceproblemen ontstaan niet door ontbrekende techniek, maar door ontbrekende procedures, incomplete registers of onvoldoende aantoonbaarheid richting toezichthouders.
Financiële Administratie voor Gereguleerde Bedrijven
Bedrijven in de financiële sector krijgen steeds meer verplichtingen rond administratie, audit trails en compliance. Van btw aangifte en salarisadministratie tot documentatie voor toezichthouders: de operationele last groeit snel. Het verschil tussen een accountant en een boekhouder wordt extra relevant naarmate complianceverplichtingen toenemen.
Neno combineert AI-gedreven boekhoudautomatisering met gecertificeerde accountants die Nederlandse compliancevereisten begrijpen. Zo blijft je administratie georganiseerd, controleerbaar en schaalbaar terwijl je bedrijf groeit. Vanaf het moment dat je bij ons je bv oprichten start, zijn de financiële fundamenten meteen op orde.
Plan een gesprek en ontdek hoe boekhouding, salaris en belasting samenkomen in één geïntegreerd systeem voor groeiende Nederlandse bedrijven.
Veelgestelde Vragen Over DORA
Wat is DORA precies?
DORA is de Europese Digital Operational Resilience Act, een verordening die financiële instellingen verplicht om hun digitale weerbaarheid structureel te organiseren en te documenteren.
Sinds wanneer geldt DORA?
DORA is sinds 17 januari 2025 verplicht van toepassing in alle EU-lidstaten, inclusief Nederland.
Geldt DORA ook voor fintechs?
Ja. Payment institutions, e-money instellingen en veel crypto-aanbieders vallen rechtstreeks onder DORA. Ook technologiebedrijven die diensten leveren aan financiële instellingen kunnen indirect geraakt worden.
Wie houdt toezicht op DORA in Nederland?
AFM en DNB zijn de bevoegde toezichthouders.
Wat is het Register of Information?
Dat is het verplichte overzicht van alle ICT-leveranciers en third-party afhankelijkheden van een financiële instelling.
Wat zijn de belangrijkste DORA-verplichtingen?
De belangrijkste onderdelen zijn ICT-risicobeheer, incidentmeldingen, resilience testing, leveranciersbeheer en governance op bestuursniveau.
Hoe snel moet een major incident gemeld worden?
De eerste melding moet binnen vier uur na classificatie plaatsvinden.
Wat gebeurt er als een bedrijf niet compliant is?
DORA kent forse boetes. Daarnaast kunnen vergunningen, reputatie en bestuurdersaansprakelijkheid in gevaar komen.
Geldt DORA naast GDPR en NIS2?
Ja. De frameworks bestaan naast elkaar en kunnen tegelijkertijd van toepassing zijn.
Waarom is DORA ook relevant voor SaaS-bedrijven?
Omdat financiële instellingen hun leveranciers verplichten om aan DORA-eisen te voldoen via contracten, audits en securityvereisten.
Written by
Nick Knuppe
CEO en oprichter
