TD;DR: De Digital Operational Resilience Act (DORA) is sinds 17 januari 2025 verplicht voor alle financiële instellingen in de EU en hun ICT-dienstverleners. De verordening legt vijf pijlers vast: ICT-risicobeheer, incidentrapportage, weerbaarheidstests, derdepartijrisicobeheer en informatie-uitwisseling. Ook Belgische KMO’s die ICT-diensten leveren aan banken of verzekeraars vallen indirect onder DORA.
Uw bank, verzekeraar of beleggingsonderneming moet sinds januari 2025 voldoen aan DORA. Maar wist u dat ook uw ICT-leverancier geraakt wordt? De Digital Operational Resilience Act verandert de spelregels voor de volledige keten rond de financiële sector, inclusief de duizenden Belgische KMO’s die software, hosting of cloudoplossingen leveren aan financiële instellingen. In dit artikel leest u wat de DORA wetgeving concreet inhoudt, wie eronder valt en hoe u zich voorbereidt.
Wat is DORA?
DORA (Verordening EU 2022/2554) is een Europese verordening die de digitale operationele weerbaarheid van de financiële sector versterkt. In tegenstelling tot de NIS2-richtlijn is DORA een verordening: ze geldt rechtstreeks in alle EU-lidstaten zonder nationale omzetting. Sinds 17 januari 2025 moeten alle financiële entiteiten en hun kritieke ICT-dienstverleners volledig compliant zijn.
Het doel? Cybersecurity transformeren van een puur technische kwestie naar een kernonderdeel van het financieel toezicht. De Nationale Bank van België (NBB) en de FSMA houden als toezichthouders de naleving in de gaten.
De 5 pijlers van DORA
DORA is opgebouwd rond vijf pijlers die samen de digitale weerbaarheid van financiële instellingen moeten garanderen. Elke pijler legt concrete verplichtingen op, van governance tot technische testen.
1. ICT-risicobeheer en governance
Financiële instellingen moeten een volledig ICT-risicobeheerkader opzetten dat jaarlijks wordt geëvalueerd. Het leidinggevend orgaan (de Raad van Bestuur) is rechtstreeks aansprakelijk. Bestuurders kunnen de verantwoordelijkheid niet meer delegeren aan de CTO of CISO: ze moeten zelf regelmatig trainingen volgen over ICT-risico’s. Concreet betekent dit onder meer een volledige asset-inventaris, strikt toegangsbeheer, realtime monitoring en geteste herstelplannen voor cyberincidenten.
2. Incidentbeheer en rapportage
DORA vervangt de versnipperde meldingsplichten (zoals onder PSD2) door één geharmoniseerd proces. De meldtermijnen zijn bijzonder kort:
- Initiële melding: binnen 4 uur na detectie
- Tussentijds verslag: binnen 72 uur
- Eindverslag: binnen 1 maand, inclusief root-cause analyse
Voor Belgische banken en verzekeraars verloopt de melding via het OneGate-platform van de NBB.
3. Digitale operationele weerbaarheidstesten
Instellingen moeten bewijzen dat hun verdediging werkt. Dat gaat verder dan een jaarlijkse cybersecurity audit. DORA vereist minimaal jaarlijkse kwetsbaarheidsscans en penetratietesten voor systemen die kritieke functies ondersteunen. Voor systeemrelevante instellingen (zoals de acht Belgische O-SII-banken, waaronder BNP Paribas Fortis, KBC en Belfius) komt daar elke drie jaar een Threat-Led Penetration Test (TLPT) bij.
4. ICT-derdepartijrisicobeheer
Dit is de pijler die ook KMO’s raakt. Financiële instellingen blijven volledig verantwoordelijk voor hun compliance, ook als ze ICT-diensten uitbesteden. Ze moeten jaarlijks een register van alle ICT-dienstverleners indienen bij de toezichthouder en elke leverancier vooraf toetsen op solvabiliteit, beveiligingsstandaarden en reputatie. De eerste indiening van dit register bij de Europese toezichthouders vond plaats op 30 april 2025.
5. Informatie-uitwisseling
DORA stimuleert financiële instellingen om onderling dreigingsinformatie te delen via vertrouwde gemeenschappen (ISAC’s). Denk aan Indicators of Compromise, aanvalstechnieken en lessen uit incidenten. Deze pijler is grotendeels vrijwillig, maar wordt door de NBB en FSMA sterk aangemoedigd.
Wie valt onder DORA in België?
DORA geldt voor 21 types financiële entiteiten: banken, verzekeraars, beleggingsondernemingen, betalingsinstellingen, pensioenfondsen, crowdfundingplatformen en meer. In België vallen naar schatting meer dan 300 directe entiteiten onder de verordening.
Maar de impact reikt verder. Elke ICT-dienstverlener die een kritieke of belangrijke functie ondersteunt voor een financiële instelling valt indirect onder DORA. Denk aan softwareleveranciers, cloudhostingproviders, leveranciers van betalingsplatformen of aanbieders van maatwerksoftware.
Op Europees niveau zijn in november 2025 de eerste 19 kritieke ICT-dienstverleners (CTPP’s) aangewezen die onder direct EU-toezicht vallen. Voor België staan SWIFT en Euroclear op die lijst, naast hyperscalers zoals AWS en Microsoft Azure.
Wat is het verschil tussen DORA en NIS2?
Veel Belgische bedrijven vragen zich af hoe DORA zich verhoudt tot NIS2. Het kernprincipe: DORA is de specifieke wet voor de financiële sector en gaat voor op de algemene NIS2-wetgeving als het om ICT-risico’s gaat.
| Criterium | DORA | NIS2 |
|---|---|---|
| Type wetgeving | Verordening (direct bindend) | Richtlijn (Belgische wet van 26 april 2024) |
| Focus | Operationele weerbaarheid financiële sector | Algemene cybersecurity kritieke infrastructuur |
| Doelgroep | 21 types financiële entiteiten + ICT-providers | Essentiële en belangrijke entiteiten in 18 sectoren |
| Meldtermijn incident | Initieel binnen 4 uur | Vroege waarschuwing binnen 24 uur |
| Testverplichtingen | Jaarlijkse pentests + 3-jaarlijkse TLPT | Regelmatige risicobeoordelingen |
| Toezichthouder (BE) | NBB en FSMA | CCB (Centrum voor Cybersecurity België) |
| Leverancierstoezicht | Direct EU-toezicht op kritieke providers | Ketenbeveiliging verplicht, geen direct toezicht |
Kan een bedrijf onder beide vallen? Ja, maar voor ICT-risicoaspecten geldt uitsluitend DORA voor financiële instellingen. Bent u een ICT-dienstverlener die zowel aan financiële als niet-financiële klanten levert? Dan valt u mogelijk onder beide regelgevingen. Lees meer over NIS2 in onze complete NIS2-gids voor Vlaamse bedrijven.
Threat-Led Penetration Testing als DORA-verplichting
Een van de meest technisch uitdagende onderdelen van DORA is de verplichte Threat-Led Penetration Test (TLPT). Dit is geen standaardpentest: het is een gesimuleerde aanval door een gespecialiseerd Red Team op basis van actuele dreigingsinformatie, waarbij de detectie- en responscapaciteiten van de organisatie worden getest.
In België wordt dit kader beheerd door het TIBER-BE team van de Nationale Bank van België. Een test uitgevoerd volgens TIBER-BE voldoet in de regel aan de DORA TLPT-eisen. Waar TIBER-BE voorheen vrijwillig was, maakt DORA dit verplicht voor systeemrelevante instellingen, met de eerste testcyclus uiterlijk op 17 januari 2028.
Voor niet-systeemrelevante entiteiten volstaat een reguliere penetratietest om aan de algemene testverplichting te voldoen. Benieuwd wat dat kost? Lees ons artikel over pentest kosten in België.
Valt uw KMO als ICT-dienstverlener onder DORA?
Als uw KMO software, hosting, cloudoplossingen of andere ICT-diensten levert aan een bank, verzekeraar of betalingsinstelling, dan raakt DORA u direct. Financiële instellingen zijn wettelijk verplicht hun contracten aan te passen (“repapering”) en u moet voldoen aan strikte eisen.
De acht verplichte contractuele clausules die uw financiële klant moet opnemen, omvatten onder meer volledige transparantie over uw dienstverlening, onbeperkte audit- en toegangsrechten voor de toezichthouder, strikte incidentmeldingsplicht en een geteste exit-strategie.
Vooral die exit-strategie weegt zwaar voor KMO’s. U moet aantonen dat uw klant binnen een redelijke termijn kan overstappen naar een andere leverancier, zonder vendor lock-in, en met gegarandeerde continuïteit tijdens de transitie.
Wat kunt u concreet doen?
- Breng in kaart welke van uw klanten onder DORA vallen
- Controleer of uw contracten de acht verplichte clausules bevatten
- Laat een gap-analyse uitvoeren om uw technische compliance te toetsen
- Zorg voor gedocumenteerd incidentbeheer en een meldprocedure
- Bereid een exit-strategie voor op basis van open standaarden
Boetes bij niet-naleving: voor financiële instellingen lopen de boetes op tot 2% van de wereldwijde jaaromzet. Voor als kritiek aangewezen ICT-dienstverleners (CTPP’s) geldt een dwangsom tot 1% van de gemiddelde dagelijkse omzet per dag van niet-naleving. Tot begin 2026 zijn er in de EU nog geen grootschalige DORA-boetes opgelegd, maar de toezichthouders bevinden zich in een fase van intensieve supervisie.
Veelgestelde vragen over DORA
Geldt DORA voor mijn KMO?
Als u ICT-diensten levert aan een financiële instelling en die dienst ondersteunt een kritieke of belangrijke functie, dan valt u indirect onder DORA. Uw klant is verplicht om contractuele DORA-eisen aan u door te geven.
Wat als ik ICT-diensten lever aan een bank?
Dan moet uw contract voldoen aan de acht clausules uit artikel 30 van DORA. Uw klant zal u vragen om audit-toegang te verlenen, incidenten te melden en een exit-strategie op te stellen.
Wat zijn de boetes bij niet-naleving van DORA?
Financiële instellingen riskeren boetes tot 2% van hun wereldwijde jaaromzet. Kritieke ICT-dienstverleners (CTPP’s) riskeren dwangsommen tot 1% van hun gemiddelde dagelijkse omzet per dag.
Hoe verhoudt DORA zich tot NIS2?
DORA geldt als specifieke wet voor de financiële sector en gaat voor op NIS2 wat betreft ICT-risicobeheer. Als u diensten levert aan zowel financiële als niet-financiële klanten, kunt u onder beide vallen.
Wanneer moet mijn organisatie DORA-compliant zijn?
DORA is sinds 17 januari 2025 volledig afdwingbaar. Alle financiële entiteiten en hun kritieke ICT-dienstverleners moesten op die datum compliant zijn.
Volgende stappen: hoe Cyberplan u ondersteunt
Of u nu een financiële instelling bent die de testverplichting moet invullen, of een ICT-dienstverlener die DORA-compliant moet worden: Cyberplan helpt u met de technische kant. Van penetratietesten en cybersecurity audits tot gap-analyses en incidentresponsplannen.
Wilt u weten waar uw organisatie staat ten opzichte van DORA? Boek een vrijblijvend kennismakingsgesprek en ontdek hoe wij u concreet ondersteunen.
