DORA richtlijnen

Wie valt onder DORA (Digital Operational Resilience Act)?

DORA is van toepassing op financiële instellingen én op kritieke ICT-dienstverleners die voor die instellingen werken.
De scope is bewust breed, juist om ketenrisico's te beheersen.

Het document met de officiele tekst is downloadable onderaan deze pagina.Dit PDF-document bevat de volle tekst van de Digital Operational Resilience Act, inclusief alle artikelen en bepalingen van de EU-verordening.

Financiële instellingen (direct onder DORA)

De volgende organisaties vallen rechtstreeks onder DORA:

🏦 Banken en kredietinstellingen

  • Banken

  • Spaarbanken

  • Kredietverstrekkers

💳 Betalings- en geldinstellingen

  • Betalingsdienstverleners (PSP's)

  • Elektronisch-geldinstellingen (EMI's)

  • Betaalplatforms en payment processors

📈 Beleggings- en kapitaalmarktpartijen

  • Beleggingsondernemingen

  • Vermogensbeheerders

  • Handelsplatformen

  • Effectenbeurzen

  • Clearing- en settlementinstellingen (CCP's, CSD's)

🛡️ Verzekeringen & pensioenen

  • Verzekeringsmaatschappijen

  • Herverzekeraars

  • Pensioenfondsen en pensioenuitvoerders

🪙 Overige financiële instellingen

  • Crypto-dienstverleners (voor zover gereguleerd)

  • Crowdfundingplatforms

  • Rating agencies

  • Data reporting services

👉 Kernpunt:
Als een organisatie onder financieel toezicht valt in de EU, is de kans zeer groot dat DORA van toepassing is.

ICT-dienstverleners (indirect, maar zwaar geraakt)

Ook niet-financiële organisaties vallen onder DORA indirect, wanneer zij cruciale ICT-diensten leveren aan financiële instellingen.

💻 Voorbeelden van ICT-dienstverleners onder DORA

  • Cloud service providers (IaaS, PaaS, SaaS)

  • Managed service providers (MSP's)

  • Hosting- en datacenterproviders

  • Softwareleveranciers (kernapplicaties)

  • Security vendors (SOC, SIEM, MDR, IAM)

  • Netwerk- en connectiviteitsleveranciers

Deze partijen worden aangeduid als:

Critical ICT Third-Party Service Providers (CTPP's)

🔎 Zij kunnen direct onder toezicht komen van Europese toezichthouders.

Wanneer ben je een "kritieke ICT-dienstverlener"?

Een ICT-dienstverlener kan als kritiek worden aangemerkt als:

  • meerdere financiële instellingen afhankelijk zijn van dezelfde dienst;

  • uitval directe impact heeft op kritieke financiële processen;

  • er weinig realistische alternatieven zijn (concentratierisico);

  • exit of migratie complex is.

👉 Denk aan grote cloudproviders, maar ook aan niche-software met hoge afhankelijkheid.

Wat betekent dit praktisch?

Voor financiële instellingen

  • Volledige inzichtplicht in alle IT-assets en leveranciers

  • Contracten moeten DORA-proof zijn

  • Exit-strategieën zijn verplicht

  • Bestuur is eindverantwoordelijk

Voor ICT-leveranciers

  • Meer audits en informatieverzoeken

  • Contractuele verplichtingen vanuit klanten

  • Mogelijk direct toezicht

  • Druk op transparantie, documentatie en ITAM-volwassenheid

Belangrijk onderscheid met NIS2

Aspect DORA NIS2
Doelgroep Financiële sector Brede kritieke sectoren
Leveranciers Expliciet gereguleerd Beperkt indirect
Toezicht Europees Nationaal
Focus Continuïteit & resilience Cybersecurity

👉 Het is goed mogelijk dat een organisatie:

  • niet onder NIS2, maar wel onder DORA valt (bijv. fintech),

  • of onder beide regimes tegelijk.

Eén zin voor bestuur & toezicht

Als uw organisatie geld beheert, geld verplaatst of cruciale IT levert aan wie dat doet, dan is DORA geen optie maar een verplichting.
DOWNLOAD CELEX...2025.pdf