Menu

Menu

Featured

Make it happen with PwC​

Belastingplan 2026

Doing Business in the Netherlands 2025

Menu

Menu

Menu

Menu

Menu

Featured

Make it happen with PwC​

Rijksbegroting 2026: de hoofdpunten per ministerie

Menu

Menu

Menu

Menu

Featured

Make it happen with PwC​

Jaarbericht 2024/2025

Kantoren in Nederland

Loading Results

Hoe de digital operational resilience act jouw continuïteit bevordert

De ‘digital operational resilience act’ (DORA) heeft tot doel de ICT-risicovoorschriften in de Europese financiële sector te versterken en harmoniseren. En om een gestroomlijnd kader voor digitale operationele weerbaarheid tot stand te brengen. Ook de richtlijn Netwerk- en informatiebeveiliging 2 (NIS2) heeft als doel om de weerbaarheid van de EU-infrastructuur te verbeteren. Waar DORA specifieker is, heeft DORA voorrang. 

Al de wetgeving is gericht op het waarborgen en handhaven van een robuuste financiële sector. Dit is van vitaal belang voor ons dagelijks leven. Als consumenten zijn we hiervan afhankelijk. Ook veel waardeketens kunnen niet functioneren zonder financiële infrastructuur.

De wetgever wil dit hele ecosysteem draaiende te houden. Dit past bij de doelstellingen van individuele organisaties, die ook de integriteit van hun bedrijf willen handhaven. Niet alleen vanwege de rol die zij in het ecosysteem spelen, maar ook voor hun eigen continuïteit.

Het gevolg is dat DORA-vereisten al herkenbaar zijn. Ze maken in het beste geval al deel uit van jouw bestaande IT & technologie-risicobeheerinstrumenten. Dit is dan ook een goed moment om jouw ICT-risicobeheerpraktijken opnieuw te evalueren. En om ervoor te zorgen dat ze niet alleen voldoen aan de vereisten, maar ook bijdragen aan de bedrijfscontinuïteit. In voor- en tegenspoed.

Wat is er uniek aan DORA en op wie heeft zij betrekking?

De verordening is uniek door de invoering van een holistisch wetgevingskader voor de hele Europese Unie (EU). Het omvat ICT-risicobeheer, operationele ICT- en cyberbeveiligingscapaciteiten en het beheer van derden om een consistente levering van ICT-diensten in de hele waardeketen te waarborgen. 

Het toezicht wordt uitgeoefend door de Europese toezichthoudende autoriteiten (ETA's). De ETA’s hebben de rol van toezichthouder op financiële instellingen en derde aanbieders van ICT-diensten. Dit betekent dat derde aanbieders die essentiële diensten aan financiële instellingen leveren rechtstreeks onder Europees toezicht vallen. En indirect, via eisen die aan financiële instellingen worden gesteld om naar behoren risicobeperkende maatregelen bij hun dienstverleners voor te schrijven en te controleren.

DORA brengt meer dan 22.000 financiële entiteiten die in de EU actief zijn onder het toepassingsgebied: traditionele entiteiten uit de financiële sector, zoals beurzen en clearinginstellingen, kredietinstellingen, beleggingsondernemingen, beheerders van alternatieve beleggingsfondsen en verzekeraars. Maar ook aanbieders van crypto-activa, datarapporteringsdiensten, clouddiensten en ICT-dienstverleners.

Hoewel DORA voortbouwt op vertrouwde praktijken op het gebied van informatierisicobeheer, zij het minder holistisch in eerdere regelgeving voor banken en verzekeraars, zijn de vereisten nieuw voor andere marktdeelnemers die onder de regelgeving vallen. Het belangrijkste verschil tussen DORA en eerdere verordeningen is de breedte en diepte van de vereisten van de verordening  om ervoor te zorgen dat het ecosysteem geen zwakke schakels heeft en individuele instellingen een holistische aanpak hanteren. De verordening voert specifieke en prescriptieve vereisten in, niet alleen voor financiële entiteiten, maar voor alle marktdeelnemers die in de EU actief zijn en kritische diensten aan de financiële entiteiten verlenen, met inbegrip van externe dienstverleners.

Hoe uitdagingen van de DORA-eisen succesvol te implementeren

Inzicht krijgen in de mate waarin jouw organisatie voldoet aan DORA-eisen en de technische standaarden is natuurlijk essentieel voor de ontwikkeling van jouw DORA-complianceroutekaart. Hieronder geven wij op basis van onze ervaring een overzicht van de belangrijkste elementen voor bedrijven in de financiële sector in hun reis om te voldoen aan DORA.

In lijn met de regelgevingsagenda's van zowel DNB als ECB, voorzien wij als grootste uitdaging het proces van het inbedden van ICT-risico's van derden als integraal onderdeel van het ICT-risicobeheer van jouw organisaties. Het overzien en beheren van de ICT-risico's voor de volledige keten van derden met voldoende diepgang, en het op de juiste manier reageren op de risico's die voortvloeien uit derden (of hun derden) zal een grote onderneming zijn. Een belangrijke uitdaging is het tijdig verkrijgen van de relevante informatie van de keten van derden. Dit zal nodig zijn om risico's te identificeren en die bevindingen op te nemen als integraal onderdeel van jouw risicobeheer. Zonder dit wordt jouw vermogen om de juiste beslissingen te nemen belemmerd. 

Een nauw verwante uitdaging is ervoor zorgen dat jouw organisatie volledig inzicht heeft in welke (bedrijfs)diensten afhankelijk zijn van welke (bedrijfs)processen, ondersteund door welke systemen en welke gegevens deze verwerken. Zodra dat beeld compleet is, en jouw organisatie begrijpt van welke processen en systemen je afhankelijk bent bij welke leverancier, zou je een vrij goed idee moeten hebben waar jouw risico's zich bevinden, hoe deze worden beperkt en of deze zijn geconcentreerd bij bepaalde derde partijen. 

Aangezien DORA het toezicht van de toezichthouder uitbreidt tot deze derde aanbieders van ICT-diensten verwachten wij dat de maturiteit van deze derden op den duur op natuurlijke wijze zal toenemen.

Hieronder vind je de belangrijkste elementen waarop je je moet concentreren:

  • Zorg voor een holistische en solide ICT-strategie die is afgestemd op jouw ICT-risicobeheerstrategie om de weerbaarheid van jouw bedrijf te waarborgen. Dit moet worden afgestemd op de bedrijfsstrategie en vereist eigenaarschap van senior management, dat ervoor zorgt dat het senior management voldoende kennis en vaardigheden heeft op het gebied van ICT-risico's en beschikt over tijdige ICT-risicorapportage over alle ICT-gerelateerde risico's voor hun besluitvorming.

  • Zorg voor een hoge mate van volwassenheid van het beheer van ICT-assets, zodat de verbanden tussen middelen en bedrijfsprocessen en -diensten in kaart zijn gebracht en beoordeeld als basis voor de identificatie en beperking van risico's.

  • Zorg voor een hoog niveau van volwassenheid van het beheer van (beveiligings)incidenten, inclusief het opschalen van middelen. Dit vormt de basis voor tijdige respons en herstel bij (beveiligings)incidenten en maakt tijdige rapportage aan jouw belangrijkste belanghebbenden, zoals de toezichthouder, mogelijk. 

  • Zorg ervoor dat de detectie van afwijkende activiteiten meerdere lagen heeft en alle kritieke bedrijfsmiddelen omvat om een hoge mate van zekerheid te bereiken. En dat ongeautoriseerde activiteiten worden herkend en via het incidentenproces worden opgevolgd.

  • Zorg voor een solide testprogramma voor digitale operationele weerbaarheid dat alle kritieke IT-systemen en toepassingen omvat, dat een multidimensionaal beveiligingsoverzicht en een gedegen risicogebaseerde aanpak heeft om ervoor te zorgen dat alle relevante beveiligingsaspecten en dreigingen aan bod komen. Werk aan verschillende testscenario's - waaronder kwetsbaarheidstests, penetratietests, enz.

  • Zorg ervoor dat jouw ICT-uitbestedingsaanpak een volledig waardeketenperspectief heeft, dat de risico's voor de volledige keten van jouw organisaties ICT-uitbestedingsketen integreert en ervoor zorgt dat de potentiële impact op de organisatie bekend is en wordt verantwoord.

Wat kan het jou opleveren?

In de afgelopen tien jaar hebben verschillende ETA's richtsnoeren over ICT-risicobeheer en uitbesteding uitgebracht die door financiële toezichthouders (bv. ECB, DNB) zijn gebruikt om hun toezichtfunctie uit te oefenen. Hierdoor is de aandacht voor een volwassener ICT-risicobeheer in de financiële sector toegenomen. 

DORA is een goede richtlijn om de volwassenheid van jouw ICT-risicobeheerpraktijken opnieuw te beoordelen en de hiaten in jouw capaciteiten te identificeren om aan de DORA-verordening te voldoen. Een inventarisatie van jouw huidige ICT-risicopositie zou het uitgangspunt moeten zijn om verbeteringen in jouw controles en capaciteiten te consolideren (standaardiseren, elimineren, automatiseren) en jouw koers voor de toekomst te bepalen. Zo kun je als organisatie het ICT-risicobeheer (kosten)effectiever en efficiënter maken en je tegelijkertijd voorbereiden op audits en regelgevingsinspecties die voortvloeien uit DORA.

Voor sommige organisaties in de financiële sector is DORA een startpunt om de overgang naar het minimaal vereiste volwassenheidsniveau te versnellen en voor andere organisaties is het een gelegenheid om hun capaciteiten verder te verbeteren, zodat ze efficiënter en effectiever jouw bedrijf draaiende kunnen houden.

Gerelateerde content

Contact us

Anthony Kruizinga

Anthony Kruizinga

Partner, Risk & Regulation lead, PwC Netherlands

Tel: +31 (0)61 308 76 37

Email
Gerwin Naber

Gerwin Naber

Partner, PwC Netherlands

Tel: +31 (0)65 150 75 75

Email
Mimoent Haddouti

Mimoent Haddouti

Cybersecurity Partner, PwC Netherlands

Email
Seda Foppen

Seda Foppen

Partner, IT Risk & Regulation, PwC Netherlands

Tel: +31 88 792 6612

Email
Job van Ommen

Job van Ommen

Director, PwC Netherlands

Tel: +31 (0)64 201 78 55

Email
Volg ons

© 2015 - 2025 PwC. Alle rechten voorbehouden. 'PwC' verwijst naar de juridische entiteiten zoals omschreven in de legal disclaimer. Zie daarvoor onderstaande link.