Ons contacteren

Wegwijs in de Digital Operational Resilience Act (DORA)

DORA Financial reporting
Gepubliceerd 04 mrt 2025  | 4 min. leestijd
  • Image of Janis Steinmann

    Janis Steinmann

Met de snelle evolutie van het digitale landschap is het cruciaal geworden dat financiële systemen weerbaar zijn tegen cyberbedreigingen en operationele verstoringen. Wereldwijd zetten regelgevende instanties hier hoog op in. Een van de belangrijkste ontwikkelingen in de regelgeving op dit gebied is de Digital Operational Resilience Act (DORA) van de Europese Unie. Bij Lucanet helpen we financiële instellingen deze regelgevingsuitdagingen aan te pakken met onze geavanceerde financiële software. In deze blog gaan we dieper in op wat DORA inhoudt, de implementatietijdlijn, welke entiteiten volgens deze regelgeving moeten rapporteren en het framework voor verantwoording dat dit alles reguleert.

 

Wat is de Digital Operational Resilience Act (DORA)?

DORA is een baanbrekende wetgevende maatregel die is bedoeld om de digitale operationele weerbaarheid van de financiële sector in de EU te versterken. Het belangrijkste doel van DORA is dat alle entiteiten binnen het financiële systeem voldoende beschermd zijn om verschillende verstoringen en cyberbedreigingen te weerstaan, erop in te spelen en ervan te herstellen. Deze regelgeving omvat een breed scala aan vereisten, van robuuste protocollen voor ICT-risicobeheer tot strikte incidentrapportage en toezicht op risico's van derden.

De verantwoordelijkheid voor het toezicht op de implementatie en handhaving van DORA ligt bij een combinatie van Europese en nationale autoriteiten. Twee belangrijke entiteiten spelen hierbij een centrale rol:

  • De Europese toezichthoudende autoriteiten – waaronder de EBA (Europese Bankautoriteit), EIOPA (Europese Autoriteit voor verzekeringen en bedrijfspensioenen) en ESMA (Europese Autoriteit voor effecten en markten). Deze autoriteiten zullen zorg dragen voor richtlijnen, toezicht en handhaving op Europees niveau.
  • Nationale bevoegde autoriteiten – Elke EU-lidstaat schakelt zijn eigen nationale bevoegde autoriteit in om compliance op nationaal niveau te controleren en ervoor te zorgen dat entiteiten zich aan de regelgeving binnen hun rechtsgebied houden.

 

Wanneer wordt DORA van kracht?

DORA werd in november 2022 aangenomen door het Europees Parlement en de Raad. Zoals bepaald in de verordening treedt DORA officieel in werking op 17 januari 2025. Deze implementatietijdlijn biedt financiële entiteiten een overgangsperiode om hun processen en systemen in overeenstemming te brengen met de nieuwe wettelijke vereisten.

 

Wie moet er volgens DORA rapporteren?

DORA heeft een brede reikwijdte en omvat een groot aantal entiteiten binnen de financiële sector. De regelgeving verplicht de volgende soorten organisaties tot compliance en rapportage:

  • Kredietinstellingen – zoals traditionele en digitale banken.
  • Beleggingsmaatschappijen – bedrijven die beleggingsdiensten en -activiteiten verzorgen.
  • Verzekerings – en herverzekeringsmaatschappijen – entiteiten die diverse verzekeringsproducten aanbieden.
  • Betalingsinstellingen – bedrijven die betalingsdiensten aanbieden.
  • Instellingen voor elektronisch geld – bedrijven die elektronisch geld verstrekken.
  • Aanbieders van cryptoactivadiensten – bedrijven die cryptoactivadiensten aanbieden.
  • Handelsplatformen en centrale tegenpartijen – zoals beurzen en clearinghouses.
  • Infrastructuren voor financiële markten – zoals centrale effectenbewaarinstellingen.
  • Externe ICT-aanbieders – kritieke technologische dienstverleners voor financiële instellingen (zoals cloudserviceproviders en datacenters).

 

In totaal zullen naar schatting meer dan 22.000 entiteiten in de EU onder de rapportageverplichtingen van DORA vallen. Dit uitgebreide rapportagenetwerk zorgt voor alomvattende bescherming van de digitale activiteiten van de financiële sector.

 

De vijf belangrijkste pijlers van DORA

DORA is gebaseerd op vijf belangrijke pijlers die samen de digitale operationele weerbaarheid van financiële instellingen vergroten:

  1. ICT-risico's beheren: Instellingen moeten uitgebreide frameworks voor ICT-risicobeheer opstellen. Dit omvat het identificeren, beoordelen en beperken van ICT-risico's om verstoringen te voorkomen. Financiële entiteiten moeten hun risicobeheerbeleid regelmatig bijwerken en testen om zich aan te passen aan veranderende bedreigingen.
  2. Incidenten rapporteren: Entiteiten moeten robuuste mechanismen voor incidentrapportage ontwikkelen. Significante ICT-gerelateerde incidenten moeten onmiddellijk worden gemeld aan de bevoegde autoriteiten. Deze pijler zorgt voor een snelle reactie op incidenten, waardoor potentiële schade tot een minimum wordt beperkt.
  3. Digitale operationele weerbaarheid testen: Het regelmatig testen van de digitale operationele weerbaarheid is verplicht. Financiële instellingen moeten kwetsbaarheidsbeoordelingen, penetratietests en dreigingsgestuurde penetratietests uitvoeren om ervoor te zorgen dat hun systemen bestand zijn tegen cyberbedreigingen en operationele verstoringen, en hiervan kunnen herstellen.
  4. Risico's van derden beheren: Gezien de afhankelijkheid van externe ICT-dienstverleners legt DORA de nadruk op toezicht en beheer van risico's van derden. Financiële entiteiten moeten ervoor zorgen dat hun externe dienstverleners zich aan vergelijkbare standaarden voor weerbaarheid houden en noodplannen klaar hebben liggen.
  5. Informatie delen: DORA bevordert het delen van informatie over cyberbedreigingen en ICT-risico's tussen financiële instellingen. Deze gezamenlijke aanpak helpt bij het identificeren van nieuwe bedreigingen en het verbeteren van de collectieve paraatheid.

 

Voorbereiden op de toepassing van DORA

Ter voorbereiding op de aankomende regelgeving heeft de Europese Bankautoriteit (EBA) een proefronde van DORA gelanceerd. Deze proactieve maatregel is bedoeld om de rapportagemechanismen van DORA te testen en te verfijnen. De proefronde biedt financiële instellingen de mogelijkheid om de invoering van DORA-verplichtingen te simuleren. Dit levert waardevolle inzichten en feedback op die zullen bijdragen aan een soepel verloop van de complianceprocessen zodra de regelgeving van kracht is.

Lucanet neemt actief deel aan de proefronde, samen met de nationale bevoegde autoriteiten die onze XBRL Portal gebruiken. Zo kunnen we ervoor zorgen dat onze oplossingen en klanten klaar zijn voor de komende toepassing van DORA.

 

Hoe rapporteer je volgens DORA?

Hoewel nog niet duidelijk is gecommuniceerd hoe gegevens precies volgens DORA moeten worden gerapporteerd, heeft de EBA al een uitbreiding van haar XBRL-taxonomie gepubliceerd als onderdeel van het Rapportagekader 3.5. DORA is waarschijnlijk de eerste live toepassing van de nieuwe XBRL-CSV-standaard. Deze taxonomie wordt momenteel gebruikt in de proefronde van DORA. 

De XBRL-tools van Lucanet zijn al gecertificeerd voor XBRL-CSV. Onze XBRL Portal is de perfecte tool om XBRL-rapporten op te stellen die compliant met DORA zijn. Laat het ons weten als je het nu wilt uitproberen.

Concluderend kan worden gesteld dat de Digital Operational Resilience Act (DORA) een essentiële stap is om de financiële sector van de EU beter te beschermen tegen digitale bedreigingen. Met de deadline in zicht is het belangrijk dat alle betrokken partijen zich voorbereiden op de aankomende veranderingen in de regelgeving. Lucanet staat klaar om je te begeleiden en te ondersteunen bij het bereiken van volledige compliance en operationele weerbaarheid.

Maak kennis met onze XBRL Portal

  • Image of Janis Steinmann

    Janis Steinmann

    Janis Steinmann is Product Manager voor Reporting, ESG en XBRL bij AMANA consulting, onderdeel van de Lucanet Group. Met meer dan tien jaar ervaring heeft Janis met succes XBRL-projecten afgerond voor Europese banken, verzekeraars, toezichthouders en beursgenoteerde bedrijven, waarbij hij aan verschillende rapportage-eisen heeft voldaan. Door zijn nauwe samenwerking met klanten heeft Janis een diep inzicht gekregen in het maken en beheren van XBRL-rapporten. Het team is trots op de AMANA XBRL Engine, een van de eerste gecertificeerde XBRL-processors, die tools zoals de XBRL Tagger, XBRL Auditor, XBRL Portal, SmartNotes en andere tools van derden aanstuurt. Voordat hij bij AMANA kwam, werkte Janis op de interne rapportageafdeling van een Duitse bank. Hij is lid van de Best Practices Board van XBRL International en heeft een bachelor- en masterdiploma in bedrijfsinformatietechnologie en toegepaste computerwetenschappen van de universiteit van Duisburg-Essen.