DORA voor financiële dienstverleners die het deadline-werk niet af krijgen

DORA, de Digital Operational Resilience Act (Verordening (EU) 2022/2554), is op 17 januari 2025 in werking getreden voor financiële entiteiten in de Europese Unie. Veel instellingen haalden de volledige scope niet in één keer: een deel van de vijf pijlers stond op die datum, een deel niet, en de gaten varieerden per instelling van een onvolledig register van ICT-derden tot ontbrekende testcadans of een incidentclassificatie die nog niet conform de verordening werkte. De relevante vraag is niet meer of je de deadline gehaald hebt. Het is welke verplichtingen onder doorlopend toezicht prioritair blijven, en hoe je de aantoonbaarheid daarvan uit programma-cadans haalt in plaats van uit een eenmalig project.

Waarom DORA geen 17-januari-evenement is

Er is een hardnekkig misverstand dat de inwerkingtreding het eindpunt was. Het was het beginpunt. De verordening is direct werkend recht: hij geldt onverkort vanaf 17 januari 2025, en de Europese toezichthouders (de European Supervisory Authorities EBA, ESMA en EIOPA, gezamenlijk de ESA's) plus de nationale autoriteiten (in Nederland De Nederlandsche Bank voor het overgrote deel van de scope en de Autoriteit Financiële Markten waar zij verantwoordelijk is) toetsen vanaf dat moment door. Dat doen ze niet één keer. Ze doen het in de reguliere supervisor-relatie die zij al met financiële entiteiten onderhouden, met DORA als nieuw normatief kader bovenop wat er al lag.

De aanvullende Regulatory Technical Standards en Implementing Technical Standards (de RTS en ITS) zijn in 2024 vastgesteld en geven invulling aan de operationele eisen: hoe een register van ICT-derden eruit moet zien, hoe een ernstig incident wordt geclassificeerd, welke vormen van threat-led penetration testing voldoen aan de TLPT-standaard. Een instelling die de hoofdverordening haalde maar de uitwerking via de technische standaarden niet meenam, voldoet niet aan DORA in de praktijk. Dat is geen formaliteit. Het is de norm.

Voor een CISO die dit leest, is het belangrijkste mechanisme dit: aantoonbaarheid onder DORA komt niet uit een rapport dat in januari 2025 op de plank lag. Ze komt uit een programma-cadans die laat zien dat je op een willekeurige donderdag in 2026 of 2027 hetzelfde beheersniveau hebt als de verordening vraagt. De toezichthouder vraagt niet wat je geleverd hebt voor de deadline. Hij vraagt wat er nu staat, wat het laatst getoetst is, en wat het bestuur ervan vindt.

Welke DORA-pijlers blijven prioritair?

DORA werkt met vijf samenhangende verplichtingenpakketten. Ze zijn niet alle vijf even kritisch als prioritair gat, maar ze zijn alle vijf nodig om in control te zijn op het niveau dat de verordening vraagt. Voor wie het deadline-werk niet in één beweging af kreeg, is dit de volgorde waarop prioriteit ligt.

ICT-risicobeheer (Hoofdstuk II). Het fundament. De verordening verplicht een ICT-risicobeheerkader dat het bestuur vaststelt en periodiek herziet, met een gedocumenteerde lijn van risico naar maatregel, een continuïteits- en herstelarchitectuur die ook werkt onder druk, en een information security policy die in beleidsbeslissingen wordt gewogen. Een gat hier blokkeert de aantoonbaarheid van de andere vier pijlers, want zij rusten op het kader uit pijler één. Wie alleen tijd heeft voor één ding, doet dit.

Beheer van ICT-incidenten (Hoofdstuk III). Detectie, classificatie, escalatie, melding, evaluatie. Belangrijk hier is niet de incidentprocedure op papier, maar de aansluiting van die procedure op de meldingsverplichting voor ernstige ICT-incidenten richting de bevoegde autoriteit, binnen de termijnen die de ITS over incidentmelding voorschrijft. Een instelling die de classificatie van een ernstig incident niet binnen de DORA-criteria kan uitvoeren, loopt termijnen mis op het moment dat het rommelig wordt. Dat is precies het moment waarop je dat niet wilt.

Digitale operationele veerkrachtstesten (Hoofdstuk IV). Twee niveaus: een basistestprogramma dat alle entiteiten moeten uitvoeren (vulnerability assessments, scenario-based tests, performance tests), en threat-led penetration testing voor de entiteiten die binnen scope van TLPT vallen. Het basisniveau is voor de meeste instellingen onderschat: een testprogramma dat niet aansluit op je kritische functies, voldoet niet aan de evenredigheidseis van artikel 24. TLPT is een gesprek apart, met een eigen voorbereidingscadans van maanden.

Beheer van risico's van ICT-derde-partij-dienstverleners (Hoofdstuk V). Een register van alle contractuele afspraken met ICT-dienstverleners, een classificatie van welke functies onder welke leverancier kritiek of belangrijk zijn, contractuele clausules die voldoen aan artikel 30, en een specifiek gedrag beschrijven of weglaten beleid voor risico-evaluatie vóór onboarding van een nieuwe ICT-derde. Het register is voor veel instellingen het grootste werkpakket geweest, en het is ook het pakket dat het meest verouderd raakt na een eenmalige vulling. Aantoonbaarheid hier is een levend register, geen Excel uit januari 2025.

Uitwisseling van informatie over cyberdreigingen (Hoofdstuk VI). De minst dwingende pijler, maar wel onderdeel van de verordening. Deelname aan informatiedeling-arrangementen is voor entiteiten optioneel maar nadrukkelijk aangemoedigd. Voor de meeste instellingen is dit een vervolgstap nadat de vier andere pijlers staan.

De volgorde één tot en met vier is bewust. Pijler één is randvoorwaardelijk, pijler twee is wat onder druk eerst getoetst wordt, pijler drie is wat structureel niet wegloopt, pijler vier is wat het meeste werk vraagt om te onderhouden. Wie de volgorde omdraait en bij vier begint, bouwt een register dat zonder kader uit pijler één niet de juiste classificaties krijgt.

Wat doet de toezichthouder als je nog niet volledig voldoet?

Geen sanctie op dag één. Dat is niet hoe doorlopend toezicht in Nederland werkt. DNB en de andere bevoegde autoriteiten hebben onder de verordening een hiërarchie van toezichtinstrumenten, en die zetten ze proportioneel in. Een eerste signaal is informatie-uitvraag: vragen om documentatie, het ICT-risicobeheerkader, het register van ICT-derden, de testresultaten van het laatste jaar. Hoe die uitvraag wordt beantwoord, bepaalt of een entiteit in de gangbare relatie blijft of intensiever toezicht krijgt.

Een tweede signaal is on-site of off-site inspectie: een feitelijke toets of wat in de documentatie staat ook werkt in de organisatie. Op artikel 21 van NIS2 geldt dezelfde regel die hier opnieuw opduikt: je wordt niet afgerekend op wat ontbreekt op papier, je wordt afgerekend op wat ontbreekt onder de papieren werkelijkheid. Een continuïteitsplan dat formeel bestaat en al twee jaar niet getest is, voldoet niet. Een register van ICT-derden dat formeel gevuld is en de kritieke functie-classificatie ontbeert, voldoet niet. Een incidentprocedure die formeel staat en de DORA-classificatiecriteria niet aansluit, voldoet niet.

Een derde signaal, als de eerste twee niet leiden tot voldoende beweging, zijn formele aanwijzingen of bestuurlijke maatregelen. De verordening en de nationale uitvoeringswet geven hier de basis voor, en de Nederlandse toezichthouders gebruiken die instrumenten al jaren op andere prudentiële dossiers. Boetes zijn het sluitstuk, niet het beginpunt, maar ze zijn er. En voor de bestuurlijke laag van een financiële instelling weegt het reputatie-effect van een formele aanwijzing zwaarder dan de meeste boete-bedragen.

Het mechanisme dat een CISO moet kennen: hoe verder een instelling van de norm staat, hoe intensiever de relatie met de toezichthouder wordt. Dat is op zichzelf geen ramp, maar het kost capaciteit die je liever ergens anders inzet. Een programma dat de pijlers gefaseerd op orde brengt en dat tegelijk aantoonbaar in beweging is, krijgt ruimte. Een programma dat na de deadline stil viel, krijgt die ruimte niet.

Hoe je de gaten in volgorde dicht

De prioritering binnen de vijf pijlers gaat niet over wat het gemakkelijkst is, het gaat over wat het meest blokkerend is voor aantoonbaarheid van het geheel. Drie verschuivingen die in opdrachten waar DORA na de deadline binnen komt rollen consequent terugkomen.

Eén, het ICT-risicobeheerkader moet als eerste werken, niet als laatste. Veel instellingen hebben in 2024 alle aandacht gegeven aan het derde-partij-register, omdat dat het meest tastbare deliverable was. Dat is begrijpelijk, en het laat een gat in pijler één dat de andere vier ondergraaft. Het kader uit hoofdstuk II definieert wat een kritieke of belangrijke functie is, en zonder die definitie pakt het derde-partij-register en het testprogramma de verkeerde scope. De volgorde corrigeren betekent in de praktijk: kader actualiseren, definities scherpzetten, en dan de andere pijlers daartegen aanleggen.

Twee, de incidentmeldingsketen moet onder druk werken. De ITS over classificatie en melding van ernstige incidenten geeft expliciete criteria voor wanneer een incident moet worden gemeld en binnen welke termijn. Een keten die op papier staat maar in een echte ICT-uitval niet binnen de termijn de juiste classificatie en melding kan produceren, is een keten die in de eerstvolgende inspectie als gat zal opvallen. Test de keten zoals je een crisisorganisatie test, met een realistisch scenario, en houd de uitkomst op een plek waar het bestuur kan zien dat het is gebeurd.

Drie, het derde-partij-register moet leven. Een register dat in januari 2025 gevuld is en sindsdien niet is bijgehouden, voldoet aan artikel 28 voor de stand op één moment, en niet voor de stand op het moment dat de toezichthouder kijkt. Dat is een onderhoudsproces, geen vulproces. Het hoort ingebed te zijn in inkoop, in architectuur en in vendor management, met periodieke verificatie van de contractuele clausules uit artikel 30 op de leveranciers die kritieke of belangrijke functies leveren. ENISA heeft op het thema third-party-risicobeheer guidance gepubliceerd die als referentiekader bruikbaar is bij het inrichten van die verificatiecyclus.

De rolverdeling die hierbij hoort is dezelfde als bij elk volwassen security-programma. De CISO is verantwoordelijk voor de aantoonbaarheid van de vijf functies. De CIO en architecten dragen de inpasbaarheid in het ICT-landschap, en bewaken of de DORA-eisen niet botsen met andere kwaliteitscriteria binnen de architectuur. Het bestuur draagt de besluitlast op risico-acceptatie en op de investering die de proportionaliteitsclausule van DORA oplegt. Een DORA-programma zonder formele bestuursbesluiten op risico-acceptatie is geen DORA-programma, het is een ICT-actie met een nieuwe naam.

De toets onder elk gat dat je nog hebt

DORA is voor financiële entiteiten ontworpen als één samenhangend verplichtingenpakket, niet als vijf losse projecten. Dat betekent dat de prioritering tussen de pijlers altijd in samenhang gebeurt. Een gat in pijler één werkt door in pijler vier. Een gat in pijler twee wordt zichtbaar zodra pijler drie een testresultaat produceert dat erom vraagt. Een gat in pijler vijf is alleen een gat als de andere vier al staan.

De praktische toets onder elk gat dat een instelling nog heeft: kan het, op een willekeurige donderdag, in een gesprek met de toezichthouder, met droge ogen worden uitgelegd waarom het gat er is, hoe het is geclassificeerd, en wat de planning is om het te dichten? Niet wat er ontbreekt, maar wat eraan gedaan wordt, en op welke termijn, en wat het bestuur ervan vindt. Dat is de positie waar je in wilt staan. Vanaf die positie krijg je ruimte, en dat is de enige ruimte die doorlopend toezicht aan een entiteit die nog niet volledig voldoet, structureel geeft.

De vraag waar het meeste mis gaat, is niet welke pijler ontbreekt. Het is welke pijler formeel staat en feitelijk niet werkt. Een ICT-risicobeheerkader dat het bestuur tekende en niet in beleidsbesluiten wordt teruggezien. Een testprogramma dat in het jaarplan staat en niet aansluit op de kritieke functies uit het kader. Een register dat compleet is en geen leveranciers-verificatiecyclus heeft. Een incidentprocedure die de ITS-classificatie noemt en de afhandeling daar niet op heeft ingericht. Op DORA word je niet afgerekend op wat er ontbreekt op papier. Je wordt afgerekend op wat ontbreekt onder de papieren werkelijkheid.