DORA in de praktijk: van vragenlijst naar volwassen en toetsbaar framework
Vanaf 17 januari 2025 vormt Regulation (EU) 2022/2554, de Digital Operational Resilience Act, oftewel “DORA” het wettelijk kader voor de digitale weerbaarheid van financiële instellingen. DNB heeft aangegeven in 2026 met een vernieuwde uitvraag te komen: de SBA-Cyberweerbaarheid. Zal de AFM volgen? En wat betekent dit concreet voor instellingen als het gaat om interne governance en risicobeheersing?
Tijdens het DORA-seminar van september 2025 heeft DNB haar toezichtskoers voor DORA uiteengezet. De vertrouwde Sectorbrede analyse Informatiebeveiliging (SBA-IB) is vernieuwd en uitgebreid met het ICT risico derden en bevat in totaal 45 controls. De SBA-IB gaat nu verder onder de naam SBA-Cyberweerbaarheid en zal voor het eerst in 2026 uitgevraagd worden.
De volwassenheidsniveaus die voor de controls aangegeven moeten worden tellen niet alleen mee, maar ook hoe deze tot stand zijn gekomen. DNB kondigt aan gebruik te zullen maken van risico-identificerende gesprekken (RIGs), deep dives en on-site onderzoeken om hier inzicht in te krijgen.
Institutions will not only be asked to describe their ICT risk management processes but also to demonstrate that these are integrated within their organisation, governance, and decision-making processes - ensuring that the risk and control framework is sound in design, existence, and operation. This means, among other things:
De structuur zit hem in een robuust risk- and control framework; het sturen in het testen, monitoren en rapporteren over de inbedding.
Vanuit FAQ’s in het gegeven seminar laat DNB ruimte voor een risico gebaseerde - en proportionele aanpak. Let op dat bij een dergelijke aanpak het wel duidelijk en aantoonbaar moet zijn dat genomen keuzes passend zijn binnen het risicoprofiel van de organisatie.
Proportionaliteit mag geen vrijbrief zijn voor vrijblijvendheid. Een van de manieren waarop dit vastgelegd kan worden, is in de risicoanalyse zelf. Veel van de DORA vereisten zullen in de analyse terugkomen als mitigerende maatregel op een ICT-risico. Indien de organisatie aan kan tonen dat andere maatregelen of controls beter passend zijn dan het DORA vereiste, dan is de risicoanalyse zelf een goede plek om dit bijvoorbeeld in een toelichtingsveld vast te leggen.
Ook een (expliciete) goedkeuring van een compliance officer of directie kan hierbij tot de opties behoren, aangezien het gaat om het afwijken ten opzichte van een wettelijk vereiste. Op die manier wordt de verantwoordelijkheid op het juiste niveau genomen.
DORA gaat om het continue versterken van de operationele weerbaarheid. De implementatie van DORA is veelal als project of ‘excel-inspanning’ opgepakt, waardoor de afstemming tussen beleid en operationele uitvoering vaak versnipperd is.
By January 2026, DORA will already have been in force for one year, meaning the (mandatory) annual review of the ICT Risk Framework must take place - a specific DORA requirement. In preparation, it may be helpful to start in Q4 with an assessment of how far the measures in that framework have already been embedded operationally.
Wat wordt er nu gerapporteerd als het gaat om ICT beheersprocessen en operationele weerbaarheid? Of vanuit de eerste lijn? Biedt deze informatie voldoende aanknopingspunten om als directie bij te sturen?
A mature ICT risk management framework under DORA does not consist merely of documentation but embodies a continuous cycle of defining, assessing, controlling, monitoring, and evaluating - the well-known PDCA cycle.
When drafting policies and defining procedures or mitigating measures, it is therefore essential to consider not only how controls are practically implemented, but also how they can be tested and verified. Establishing second-line monitoring becomes far easier with this approach, ensuring that design, existence, and operation - and thus the framework itself - are demonstrably auditable.
Investing time in strengthening governance, risk management, and control frameworks in this way contributes not only to compliance but, more importantly, to trust - from supervisors, clients, and internal stakeholders alike.
De boodschap van DNB is helder: digitale weerbaarheid is een integraal onderdeel van gezonde bedrijfsvoering. De DNB heeft inmiddels ook al een informatieverzoek neergelegd bij diverse banken. Dit verzoek bevat een uitvraag van op een 20-tal onderwerpen c.q. documenten.
For the 2026 survey of the pension and insurance sectors, many organisations will discover whether they have succeeded in translating policy into concrete, auditable measures - in design, existence, and operation.
Twijfel je over het volwassenheidsniveau of wil je je ICT Risk Framework versterken voor de uitvraag in 2026? Neem contact op met onze specialisten.
