De Raad van de Europese Unie heeft op 28 november 2022 de Digital Operational Resilience Act (DORA) aangenomen. DORA betreft een Europese verordening die is ingevoerd om de financiële sector in Europa beter te beschermen en weerbaarder te maken tegen toenemende cyberrisico’s, zoals cyberaanvallen en datalekken.

Doelstelling van DORA

Het doel van DORA is de cybersecurity en operationele veerkracht van alle gereguleerde Europese financiële instellingen, en kritische derde partijen die deze instellingen voorzien van ICT-gerelateerde diensten, te verbeteren. DORA ziet ook toe op kritische IT-dienstverleners en plaatst hen ook onder toezicht van de Europese toezichthouders. Met de komst van DORA vindt er op Europees niveau harmonisatie plaats van de regels inzake digitale operationele weerbaarheid en IT-beveiliging. Digitale operationele weerbaarheid is cruciaal voor de financiële stabiliteit en marktintegriteit in het digitale tijdperk. Met de implementatie van DORA kunnen cyberaanvallen niet voorkomen worden. Wel worden organisaties weerbaarder tegen cyberdreigingen én weten ze hoe te acteren in het geval zich een cyberdreiging voordoet. DORA gaat daarbij specifiek in op de beheersing van risico’s rondom uitbesteding en neemt de hele uitbestedingsketen mee.

Verantwoordelijkheid DORA ligt bij het bestuur of management

De verantwoordelijkheid voor dit kader en andere governance-verplichtingen die door DORA worden opgelegd, ligt bij het bestuur en/of management van de financiële instelling. Oftewel: het ‘leidinggevend orgaan’. Zij is verantwoordelijk voor het beoordelen, goedkeuren, implementeren en actualiseren van het ICT-risicomanagementkader. Dit vereist onder andere dat het leidinggevend orgaan volledig op de hoogte is en begrip heeft van het ICT-gebruik, de diensten en het ICT-risicoprofiel van de eigen organisatie. DORA vereist van het bestuur en/of management dat zij hun kennis- en vaardigheidsniveau van ICT-risicobeheersing op peil houden. Een duidelijke randvoorwaarde om goed te kunnen (be)sturen op risico’s met betrekking tot digitale operationele weerbaarheid.

Impact van DORA

DORA bevat 58 artikelen en is gestructureerd in vijf belangrijke pilaren. De belangrijkste kenmerken worden hieronder benoemd.


Hoewel het einde van 2024 nog ver weg lijkt, kan naleving uitdagend en tijdrovend zijn voor organisaties. De naleving zal worden gewaarborgd door de bevoegde toezichthoudende autoriteit van de entiteit (DNB of de AFM). EU-lidstaten hebben het recht om boetes op te leggen bij niet-naleving van verplichtingen. De Wet op het financieel toezicht (Wft) vereist van financiële instellingen een beheerste en integere bedrijfsvoering (art. 3: 17), waar ook de beheersing van IT-risico’s onder wordt geschaard. Het niet voldoen aan de Wft kan resulteren in sancties, zoals een boete. In het ergste geval kan de toezichthouder de vergunning intrekken.

Tijdig voldoen aan DORA: kom nu in actie 

Het voldoen aan de DORA-verplichtingen binnen de gestelde termijn is uitdagend en tijdrovend. Hoewel DORA een implementatieperiode toestaat tot 17 januari 2025, adviseren wij organisaties die onder de scope vallen, onmiddellijk te beginnen met de voorbereidingen. We raden een gefaseerde aanpak aan met een DORA (compliance) programma om zo tijdig te voldoen aan DORA. 

Wat kan BDO voor u betekenen?

Onze experts hebben brede ervaring op het gebied van DORA. Wij bieden ondersteuning bij de implementatie van uw DORA programma en bieden diverse cybersecurity diensten aan om blijvend te voldoen aan de vereisten van DORA.

• Training van bestuur en management over DORA;
• Deskundige begeleiding bij het voldoen aan DORA;
• Uitvoeren en reviewen van gap-analyses;
• Implementeren van DORA-vereisten en uitvoering van het DORA-actieplan;
• Uitvoeren van risico-analyses;
• Ontwikkelen en implementeren van beleid en procedures voor ICT risicomanagement, incident management, bedrijfscontinuïteit, uitbesteding en security testing;
• Reviewen van ICT-contracten op DORA-vereisten;
• Monitoring door middel van een security-officer 
• Interne IT en Cybersecurity audits.