Over onsTechnologieënBlog
GWARDNEW
Terug naar blog

DORA-compliance voor Belgische financiële instellingen

1 mei 20269 min leestijdCaner Korkut

De Digital Operational Resilience Act (DORA) is het regelgevend kader van de EU om ervoor te zorgen dat financiële instellingen ICT-gerelateerde verstoringen kunnen weerstaan, erop kunnen reageren en ervan kunnen herstellen. Sinds de toepassingsdatum van 17 januari 2025 moeten Belgische financiële entiteiten onder toezicht van de Nationale Bank van België (NBB) en de FSMA voldoen aan de uitgebreide vereisten.

Wat is DORA?

DORA stelt een uniform pakket vereisten vast voor de digitale operationele veerkracht van financiële entiteiten in de hele EU. In tegenstelling tot NIS2, dat breed van toepassing is op alle sectoren, is DORA specifiek ontworpen voor de financiële sector en heeft het voorrang voor entiteiten binnen zijn toepassingsgebied.

De verordening beoogt ervoor te zorgen dat alle deelnemers aan het financiële systeem over de nodige waarborgen beschikken om ICT-risico's te beperken, waaronder cyberaanvallen, technologische storingen en verstoringen door derden. Het gaat verder dan een zuiver op compliance gerichte aanpak en vereist echte operationele veerkracht.

Wie moet voldoen in België?

DORA is van toepassing op een breed scala aan financiële entiteiten die actief zijn in België:

  • Kredietinstellingen — banken onder toezicht van de NBB in het kader van het Gemeenschappelijk Toezichtsmechanisme.
  • Betalingsinstellingen — vergunde betalingsdienstaanbieders.
  • Beleggingsondernemingen — entiteiten onder toezicht van de FSMA.
  • Verzekerings- en herverzekeringsondernemingen — alle vergunde verzekeraars en herverzekeraars.
  • Aanbieders van cryptoactivadiensten — entiteiten vergund onder MiCA.
  • Centrale effectenbewaarinstellingen — waaronder Euroclear Belgium.
  • Handelsplatformen — waaronder Euronext Brussels.
  • ICT-dienstverleners van derden — kritieke dienstverleners van derden aangewezen door de Europese toezichthoudende autoriteiten, waaronder cloudproviders en managed IT-diensten voor financiële instellingen.

Vijf pijlers van DORA-compliance

DORA is georganiseerd rond vijf kerngebieden die financiële instellingen moeten aanpakken:

1. ICT-risicobeheer

Financiële entiteiten moeten een uitgebreid ICT-risicobeheerframework opzetten dat identificatie en classificatie van ICT-assets, continue risicobeoordeling, implementatie van beschermings- en preventiemaatregelen en detectiecapaciteiten omvat. Het leidinggevend orgaan draagt de uiteindelijke verantwoordelijkheid voor het definiëren en goedkeuren van de ICT-risicobeheerstrategie.

2. Rapportage van ICT-gerelateerde incidenten

DORA vereist dat financiële entiteiten ICT-gerelateerde incidenten classificeren met behulp van gestandaardiseerde criteria en grote incidenten melden aan de NBB of FSMA. De rapportagetijdlijn omvat een eerste melding binnen vier uur na classificatie, een tussentijds rapport binnen 72 uur en een eindrapport binnen één maand. Dit sluit aan bij maar verschilt van de NIS2-rapportagetijdlijnen.

3. Testen van digitale operationele veerkracht

Entiteiten moeten regelmatig hun ICT-systemen testen, waaronder:

  • Basistestsvulnerability scanning, netwerkbeveiligingsbeoordelingen en gap-analyses die jaarlijks worden uitgevoerd.
  • Geavanceerde tests (TLPT) — threat-led penetration testing naar het model van het TIBER-EU-framework, minimaal elke drie jaar vereist voor significante financiële entiteiten. Dit gaat verder dan standaard penetration testing en simuleert realistische dreigingsscenario's.

4. Beheer van ICT-risico's van derden

Financiële instellingen moeten een register bijhouden van alle ICT-dienstverleners van derden, due diligence uitvoeren vóór inschakeling, verplichte contractuele bepalingen opnemen voor beveiliging en veerkracht, en regelmatig de prestaties van derden monitoren. Kritieke ICT-dienstverleners van derden zullen onderworpen worden aan direct toezicht door Europese toezichthoudende autoriteiten.

5. Informatie-uitwisseling

DORA moedigt vrijwillige uitwisseling van cyberdreigingsinformatie aan tussen financiële entiteiten. Belgische financiële instellingen kunnen deelnemen aan informatie-uitwisselingsregelingen, onder meer via de coördinatiemechanismen van het CCB, met inachtneming van de gegevensbeschermingsvereisten.

DORA vs NIS2: belangrijkste verschillen voor Belgische financiële entiteiten

Belgische financiële instellingen vragen zich mogelijk af hoe DORA zich verhoudt tot NIS2:

  • DORA heeft voorrang — als sectorspecifieke verordening prevaleert DORA boven NIS2 voor entiteiten binnen zijn toepassingsgebied (het lex specialis-beginsel).
  • Strengere vereisten — DORA legt over het algemeen meer gedetailleerde en strengere eisen op dan NIS2, met name rond testen en beheer van derden.
  • Andere toezichthouders — DORA-compliance wordt toezien door financiële toezichthouders (NBB/FSMA), terwijl NIS2 wordt toezien door het CCB.
  • ICT-dienstverleners van derden — bedrijven die ICT-diensten verlenen aan financiële instellingen moeten mogelijk voldoen aan zowel DORA (via contractuele vereisten) als NIS2 (rechtstreeks).

Stappen om DORA-compliance te bereiken

  1. Beoordeel uw huidige situatie — voer een gap-analyse uit die bestaande ICT-risicobeheerpratkijken vergelijkt met DORA-vereisten.
  2. Stel governance vast — zorg ervoor dat het leidinggevend orgaan verantwoordelijkheden voor ICT-risico heeft gedefinieerd en dat rapportagelijnen duidelijk zijn.
  3. Bouw uw ICT-risicoframework — implementeer of verbeter identificatie-, beschermings-, detectie-, respons- en herstelcapaciteiten.
  4. Breng afhankelijkheden van derden in kaart — maak en onderhoud een uitgebreid register van alle ICT-dienstverleners en beoordeel concentratierisico's.
  5. Implementeer incidentrapportage — stel processen op om ICT-incidenten te classificeren, te escaleren en te melden binnen de tijdlijnen van DORA.
  6. Plan veerkrachttests — ontwikkel een testprogramma dat jaarlijkse basistests en, indien van toepassing, driejaarlijkse TLPT-oefeningen omvat.
  7. Documenteer alles — DORA vereist uitgebreide documentatie. Zorg ervoor dat beleiden, procedures en registers volledig en audit-klaar zijn.

Hoe ICTLAB kan helpen

ICTLAB ondersteunt Belgische financiële instellingen bij het voldoen aan de veeleisende vereisten van DORA. Onze cybersecuritydiensten omvatten DORA-gap-beoordelingen, ontwerp van ICT-risicoframeworks, veerkrachttestprogramma's inclusief penetration testing en kwetsbaarheidsbeoordelingen, en ondersteuning bij risicobeheer van derden. Wij begrijpen de unieke uitdagingen waarmee Belgische financiële entiteiten worden geconfronteerd en bieden praktische, op implementatie gerichte begeleiding.

Of u nu een bank, verzekeraar, betalingsdienstaanbieder of ICT-dienstverlener voor de financiële sector bent, ons team in Brussel kan u helpen de operationele veerkracht op te bouwen die DORA vereist.

Hulp nodig met Beveiligingsaudit?

Uitgebreide evaluatie van uw beveiligingspositie tegen industrienormen. Onze audits identificeren gaps en bieden bruikbare remediatieplannen.

Meer informatie Contacteer ons

Gerelateerde artikelen

15 januari 2025

NIS2 België: Volledige Gids voor Compliance 2026

NIS2-compliance gids voor Belgische organisaties: wie moet voldoen, belangrijkste vereisten, deadlines, sancties en stapsgewijze voorbereidingschecklist.

20 februari 2025

Pentest Kosten België 2026: Prijzen & Tarieven

Pentest kosten in België: web pentest vanaf €4.000, netwerk pentest vanaf €5.000, red team vanaf €20.000. Volledige prijsopbouw en budgettips.