Premium DORA Compliance Assessment: Hoe Werkt Het?
De Digital Operational Resilience Act (DORA) is sinds 17 januari 2025 verplicht voor financiële instellingen en hun ICT-leveranciers. Deze assessment toetst uw organisatie op alle vijf DORA-pijlers en wijst de gaps aan voor compliance.
Wat is de Premium DORA Compliance Assessment?
DORA bundelt eisen rond ICT-risico, incident-rapportage, weerbaarheid-tests, third-party risico en informatie-uitwisseling. Niet-financiële organisaties die kritieke ICT-diensten leveren aan banken, verzekeraars of pensioenfondsen vallen ook onder de scope.
De assessment doorloopt alle vijf pijlers met ruim 60 control-vragen, geeft een volwassenheids-score per pijler en levert een gap-analyse plus actieplan.
De 5 categorieën
Pijler 1 — ICT-risicomanagement (25 punten)
Governance, beleid, risk-assessment proces, mitigatie-maatregelen. Vereist een goedgekeurd ICT-risicokader, jaarlijkse evaluatie en betrokkenheid van het management.
Specifiek voor DORA: integratie met de bredere risicobenadering van de organisatie en duidelijke rol-verdeling op bestuursniveau.
Pijler 2 — Incident-classificatie & rapportage (20 punten)
Proces voor classificeren, registreren en (binnen 4 uur na detectie) melden van «major incidents» aan de toezichthouder. Daarnaast jaarlijkse aggregated reports.
De assessment toetst of uw incident-process voldoet aan de 7 classificatie-criteria (impact, duur, geografische spreiding, etc.) van de RTS.
Pijler 3 — Operationele weerbaarheid-testing (20 punten)
Gestructureerd test-programma: kwetsbaarhedenscans, scenario-testen, business continuity-tests. Voor «significante» entiteiten ook driejaarlijkse Threat-Led Penetration Tests (TLPT) volgens TIBER-EU.
De assessment kijkt of u een test-kalender heeft, of de tests dekkend zijn en of resultaten leiden tot remediatie.
Pijler 4 — ICT-third-party risico (25 punten)
Inventarisatie van alle ICT-leveranciers, risico-classificatie, contractuele eisen (DORA Art. 30), exit-strategie en monitoring.
Vooral voor «critical third-party providers» (CTPP) gelden zware eisen. De assessment toetst of uw register compleet is en of contracten de verplichte clausules bevatten.
Pijler 5 — Informatie-uitwisseling (10 punten)
Vrijwillige deelname aan threat-intelligence sharing communities (ISAC's). Hoewel niet verplicht, weegt het mee in toezicht-evaluaties.
De assessment kijkt of u een proces heeft voor het ontvangen, evalueren en operationaliseren van threat intelligence.
Wat wordt er gecontroleerd?
60+ control-vragen verdeeld over de vijf pijlers:
- Governance: goedgekeurd ICT-risicokader met management-betrokkenheid.
- Risk-assessment: jaarlijks en bij significante wijzigingen.
- Asset-inventaris: volledig en up-to-date register van ICT-assets.
- Detectie: capability voor het detecteren van anomalieën en kwetsbaarheden.
- Incident-classificatie: proces tegen de 7 RTS-criteria.
- Major incident reporting: 4 uur initiële melding, 72 uur tussentijdse, eindrapport.
- Test-kalender: jaarlijks programma met kwetsbaarhedenscans en scenario's.
- TLPT: driejaarlijkse Threat-Led Penetration Test (significante entiteiten).
- Third-party register: alle ICT-leveranciers met risico-classificatie.
- Contract-clausules: DORA Art. 30 verplichte bepalingen aanwezig.
- Exit-strategie: per kritieke leverancier gedocumenteerd.
- Concentratie-risico: analyse van afhankelijkheid van een enkele aanbieder.
- Threat intelligence: proces voor ontvangst, evaluatie en operationalisatie.
Resultaten interpreteren
Na afronding van de assessment ontvangt u een uitgebreid resultaatoverzicht met de volgende onderdelen:
- DORA-score (0-100) met grade per pijler.
- Heat-map over de vijf pijlers met kleurcodering.
- 60+ controls met huidige status (in place / partial / missing).
- Gap-analyse tegen elk RTS/ITS van DORA.
- Roadmap richting compliance met prioritering.
- Template incident-rapportage conform het ESA-formaat.
Voor financiële entiteiten is DORA-compliance een hard wettelijk vereiste. Een score onder de 70 betekent reëel toezicht-risico. Pak in dat geval eerst Pijler 4 (third-party register) aan — dat is bij toezicht het meest direct controleerbaar.
Wat zit er in het rapport?
De Premium DORA Compliance Assessment levert een compleet, professioneel rapport. Het rapport bevat:
- Volwassenheids-meting tegen alle vijf DORA-pijlers
- 60+ controls met gap-analyse per RTS/ITS
- Heat-map en pijler-breakdown voor management-rapportage
- Roadmap richting compliance met effort-schatting
- Template incident-rapportage in ESA-formaat
- Downloadbaar PDF-rapport (NL/EN) voor compliance officer en bestuur
- 3 herhalingen om voortgang per kwartaal te meten
Veelgestelde vragen
Vallen wij onder DORA?
DORA geldt voor alle financiële entiteiten in de EU (banken, verzekeraars, pensioenfondsen, betaalinstellingen, crypto-asset providers en meer) en voor ICT-leveranciers die kritieke diensten leveren aan deze entiteiten. De assessment heeft een korte scope-vraag aan het begin om dit te bepalen.
Wat is een «major incident» precies?
Een incident dat aan ten minste twee van zeven criteria voldoet (geografische spreiding, betrokken klanten, duur, geld-impact, reputatie-impact, dataverlies, kritieke functie). Het rapport bevat een beslisboom om incidenten correct te classificeren.
Wat is een Threat-Led Penetration Test (TLPT)?
Een geavanceerde, op-realistische-dreigingen-gebaseerde pentest volgens het TIBER-EU framework. Verplicht elke 3 jaar voor «significante» entiteiten. De assessment kijkt of u TLPT-plichtig bent en of uw test-traject voldoende is.
Werkt dit ook voor onze IT-leverancier?
Ja. ICT-leveranciers van financiële entiteiten kunnen de assessment gebruiken om aan hun klanten aan te tonen dat ze DORA-compatibel zijn. Voor «critical third-party providers» is een specifiek toezicht-regime van toepassing — dat blijft een ESA-aangelegenheid.
Volledige toets aan alle vijf DORA-pijlers met scores, gap-analyse, roadmap en template incident-rapportage.
Bestel de Premium DORA Compliance Assessment