DORA-NIS2 and ITAM


Wat is DORA en waarom raakt het ITAM direct?

DORA (Digital Operational Resilience Act) is EU-wetgeving die financiële instellingen verplicht om hun digitale weerbaarheid aantoonbaar te beheersen.
De kernvraag van DORA is:

Kunnen wij, onder alle omstandigheden, onze kritieke digitale diensten blijven leveren?

Dat kan alleen als je exact weet:

  • welke IT-assets je hebt,

  • waar ze draaien,

  • wie ze levert,

  • hoe kritisch ze zijn,

  • en wat er gebeurt als ze falen.

👉 ITAM is daarmee geen ondersteunend proces, maar een control-fundament onder DORA.

Concreet: hoe DORA IT Asset Management beïnvloedt 

Asset scope wordt breder en dieper

DORA kijkt niet alleen naar "IT", maar naar digitale ketens:

Onder DORA vallen o.a.

  • Software & applicaties
  • Cloud- en SaaS-diensten
  • Infrastructuur (on-prem, cloud, netwerk)
  • API's & integraties
  • Externe ICT-dienstverleners
  • Sub-contractors (4th party risk)

👉 ITAM moet dus meer dan een inventaris zijn: het wordt een ketenregistratie.

2. Classificatie is verplicht en impact-gedreven

DORA vereist expliciet:

  • identificatie van kritieke of belangrijke functies (CIF's);

  • koppeling van die functies aan onderliggende IT-assets.

Dat betekent voor ITAM:

  • assets moeten worden geclassificeerd op business-kritikaliteit;

  • niet alleen "wat is het?", maar "wat breekt er als dit uitvalt?".

👉 Dit gaat verder dan traditionele ITAM of CMDB-registratie.

3. ITAM voedt DORA-rapportages en stress-tests

Onder DORA moet je aantonen:

  • welke assets betrokken zijn bij incidenten;

  • hoe snel je herstelt;

  • welke leveranciers structureel risico vormen.

Zonder volwassen ITAM:

  • geen betrouwbare DORA-rapportages;

  • geen onderbouwde resilience-tests;

  • geen bestuurlijk inzicht.

👉 ITAM wordt een audit- en toezichtinstrument.

4. Leveranciersbeheer wordt onderdeel van ITAM

DORA stelt zware eisen aan:

  • ICT-third parties;

  • exit-strategieën;

  • concentratierisico's (bijv. te veel afhankelijk van één cloudprovider).

Dat betekent:

  • ITAM moet contracten, leveranciers en services koppelen aan assets;

  • licenties, SLA's en technische afhankelijkheden samenbrengen.

👉 Hier raken ITAM, Vendor Management en Risk elkaar direct.

Waar DORA wezenlijk verschilt van NIS2

Hoewel DORA en NIS2 op elkaar lijken, zijn ze fundamenteel anders van aard.

🔎 Overzicht: DORA vs NIS2

Aspect DORA NIS2

  • Doelgroep Financiële sector Kritieke & belangrijke sectoren
  • Focus Operationele continuïteit Cybersecurity & weerbaarheid
  • Karakter Zeer prescriptief Risico-gebaseerd
  • Scope Digitale diensten & ketens Netwerk- en informatiesystemen
  • Toezicht Europese toezichthouders Nationale toezichthouders
  • Asset focus Assets + leveranciers + ketens Assets + beveiliging

Het kernverschil samengevat

  • NIS2 vraagt:
    Heb je passende maatregelen genomen om cyberrisico's te beheersen?

  • DORA vraagt:
    Kun je aantoonbaar blijven functioneren, zelfs als alles misgaat?

👉 DORA is harder, dieper en operationeler dan NIS2.

Wat betekent dit bestuurlijk (C-level / RvB / RvC)?

Voor bestuur en toezicht betekent DORA:

  • verantwoordelijkheid verschuift van IT naar bestuurlijke zorgplicht;

  • onvoldoende ITAM is niet langer een IT-probleem, maar een compliance- en aansprakelijkheidsrisico;

  • besluiten over cloud, sourcing en architectuur moeten traceerbaar en onderbouwd zijn.

👉 Zonder volwassen ITAM:

  • geen grip op DORA;

  • geen betrouwbare assurance;

  • verhoogd persoonlijk aansprakelijkheidsrisico.

Samenvatting in één zin

NIS2 vraagt of je beveiligd bent, DORA vraagt of je blijft bestaan.
IT Asset Management is de gemeenschappelijke ruggengraat — maar onder DORA wordt het een wettelijke vereiste in plaats van een best practice.