DORA-complianceconsulting voor financiële entiteiten in België
Maak digitale operationele weerbaarheid auditeerbaar. We helpen Belgische financiële entiteiten en hun ICT-derden te voldoen aan de vijf pijlers van DORA — van het ICT-risicobeheerkader tot incidentmelding, weerbaarheidstests en toezicht op derden.
De Digital Operational Resilience Act (Verordening (EU) 2022/2554) is van toepassing sinds 17 januari 2025 en bindt vrijwel elke financiële entiteit in de EU — banken, verzekeraars, beleggingsondernemingen, betaal- en elektronischgeldinstellingen en aanbieders van cryptoactivadiensten — samen met de kritieke ICT-derden die hen bedienen. DORA vervangt versnipperde nationale richtsnoeren door één geharmoniseerd regelboek op basis van vijf pijlers: ICT-risicobeheer, beheer en melding van ICT-gerelateerde incidenten, tests van digitale operationele weerbaarheid, beheer van risico's van ICT-derden en informatie-uitwisseling. ICTLAB helpt Belgische entiteiten deze verplichtingen operationeel te maken onder toezicht van de NBB en de FSMA, en integreert DORA met bestaande NIS2-, ISO 27001- en NIST-programma's zodat operationele weerbaarheid aantoonbaar wordt in plaats van een streven.
Wat we leveren
DORA-scoping- en gapanalyse
Beoordeling ten opzichte van de vijf pijlers van DORA en de toepasselijke RTS/ITS, met een proportionaliteitsbepaling en geprioriteerde remediatiepunten.
ICT-risicobeheerkader
Governance, beleid en controles conform DORA Artikelen 5-16, inclusief verantwoording door het bestuur, het ICT-risicokader en back-up- en bedrijfscontinuïteitsregelingen.
Incidentclassificatie- en meldingsprocedures
Classificatiedrempels voor ernstige incidenten en workflows voor initiële, tussentijdse en finale meldingen aan de NBB/FSMA conform Artikelen 17-23.
Programma voor tests van digitale operationele weerbaarheid
Een testplan met kwetsbaarheidsbeoordelingen, scenariogebaseerde tests en, voor belangrijke entiteiten, dreigingsgestuurde penetratietests (TLPT) afgestemd op TIBER-EU onder Artikelen 24-27.
ICT-derdenrisico en informatieregister
Beleid voor derdenrisico, een volledig informatieregister en contractuele clausules conform Artikel 30, inclusief auditrechten en gedocumenteerde exitstrategieën.
Weerbaarheidsroadmap en bestuursrapportage
Een meerfasig implementatieplan met tijdlijnen, eigenaarschap en rapportage op bestuursniveau om DORA-compliance aan te tonen en te behouden.
Hoe we werken
Scoping & proportionaliteitsbeoordeling
Bevestig of uw entiteit binnen de scope valt, of het vereenvoudigde of volledige ICT-risicokader van toepassing is, en koppel verplichtingen aan de toezichtsverwachtingen van NBB/FSMA.
Gapanalyse t.o.v. DORA & RTS/ITS
Evalueer huidige controles voor ICT-risico, incidenten, tests en derden ten opzichte van de verordening en haar technische normen, en prioriteer vervolgens remediatie.
Implementatie ICT-risicokader & beleid
Bouw het ICT-risicobeheerkader, de governance en de documentatie die Hoofdstuk II vereist, geïntegreerd met bestaande ISO 27001- en NIS2-controles.
Opzet incidentmelding & weerbaarheidstests
Implementeer workflows voor incidentclassificatie en -melding en een testprogramma, inclusief TLPT/TIBER-EU-coördinatie waar vereist.
Derdenregister & doorlopend toezicht
Stel het informatieregister op, verwerk Artikel 30-clausules in contracten en behoud continue monitoring naarmate normen en het dreigingslandschap evolueren.
Technologieën die we gebruiken
Veelgestelde vragen
Is DORA van toepassing op mijn organisatie?
DORA is van toepassing op een breed scala aan financiële entiteiten in de EU — banken, verzekeraars, beleggingsondernemingen, betaal- en e-geldinstellingen, aanbieders van cryptoactivadiensten en meer — en op de kritieke ICT-derden die hen bedienen. Kleinere entiteiten kunnen in aanmerking komen voor een vereenvoudigd ICT-risicokader onder het proportionaliteitsbeginsel. We beoordelen uw specifieke scope.
Sinds wanneer is DORA van toepassing en wat zijn de deadlines?
DORA is in januari 2023 in werking getreden en van toepassing sinds 17 januari 2025. Verplichtingen zoals het informatieregister en de melding van ernstige incidenten zijn al afdwingbaar, dus toezichthouders (NBB/FSMA) verwachten nu aantoonbare compliance — eventuele resterende gaps moeten zonder uitstel worden gedicht.
Hoe verhoudt DORA zich tot NIS2, ISO 27001 en NIST?
DORA fungeert als lex specialis voor de financiële sector en overlapt sterk met NIS2-risicobeheermaatregelen, ISO 27001-controles en het NIST CSF. Entiteiten met een volwassen ISMS of NIS2-programma hebben een voorsprong; we koppelen bestaande controles aan DORA om dubbel werk te voorkomen.
Wat moet een contract met een ICT-leverancier bevatten volgens Artikel 30?
Artikel 30 vereist specifieke contractuele bepalingen voor ICT-diensten, waaronder duidelijke dienstbeschrijvingen, voorwaarden voor datalocatie en -verwerking, toegangs-, inspectie- en auditrechten, verplichtingen tot incidentbijstand, voorwaarden voor onderaanneming en gedocumenteerde exitstrategieën — alles vastgelegd in het informatieregister.
Hebben we dreigingsgestuurde penetratietests (TLPT) nodig?
Belangrijke financiële entiteiten moeten minstens om de drie jaar geavanceerde dreigingsgestuurde penetratietests uitvoeren, afgestemd op het TIBER-EU-kader. We bepalen of TLPT op u van toepassing is en coördineren tests met gecertificeerde red teams en threat-intelligence-leveranciers.
Van onze blog
13 juni 2026
DORA vs NIS2: overlap, verschillen en welke van toepassing is
DORA en NIS2 reguleren beide cyberweerbaarheid — maar welke is op u van toepassing? Toepassingsgebied, de lex specialis-regel, de vijf DORA-pijlers, kerndata en een beslissingsgids voor Belgische entiteiten.
13 juni 2026
DORA ICT-derdenrisico: uw register van informatie opbouwen
De derdenregels van DORA (Art. 28-30): wat het register van informatie moet bevatten, de verplichte contractclausules (Art. 30(2) vs 30(3)), kritieke of belangrijke functies en de rapportagedeadlines van 2025.
12 juni 2026
NIST CSF 2.0 voor Europese kmo’s: een praktische implementatiegids
Stapsgewijze gids voor NIST Cybersecurity Framework 2.0 voor Europese kmo’s: de zes functies (Govern, Identify, Protect, Detect, Respond, Recover), tiers, profielen en de link met NIS2 en ISO 27001.
12 juni 2026
NIST AI RMF: betrouwbare AI bouwen (en de link met de AI Act)
Het NIST AI Risk Management Framework uitgelegd: de vier functies (Govern, Map, Measure, Manage), het Generative AI Profile, kenmerken van betrouwbare AI en hoe het de EU AI Act aanvult.
9 juni 2026
AI Act risicoclassificatie: verboden, hoog risico of beperkt risico?
Praktische beslissingsgids om uw AI-systeem te classificeren onder de EU AI Act: verboden praktijken (Art. 5), hoog-risicosystemen (Bijlage III), beperkt en minimaal risico — met concrete voorbeelden.
9 juni 2026
AVG & AI: trainingsdata, geautomatiseerde besluiten en DPIA’s in België
Hoe de AVG van toepassing is op AI voor Belgische bedrijven: rechtsgrond voor trainingsdata, geautomatiseerde besluitvorming (Art. 22), DPIA's en waar de AVG de AI Act ontmoet.
Gerelateerde diensten
Beveiligingsaudit
Uitgebreide evaluatie van uw beveiligingspositie tegen industrienormen. Onze audits identificeren gaps en bieden bruikbare remediatieplannen.
NIS2-compliance
Navigeer NIS2 met vertrouwen. We helpen Belgische organisaties hun verplichtingen te begrijpen, compliance-gaps te dichten en de beveiligingscapaciteiten op te bouwen die de richtlijn vereist.
SOC as a Service
Beveiligingsmonitoring op enterprise-niveau zonder de overhead. Ons SOC-as-a-Service biedt 24/7 dreigingsdetectie, geautomatiseerde incidentrespons en NIS2-compliance — gebouwd voor KMO's.
Klaar om te beginnen?
Laten we bespreken hoe we u kunnen helpen uw doelen te bereiken.
Neem contact op