VERORDENING (EU) 2022/2554 - VAN TOEPASSING SINDS 17 JANUARI 2025

Uw DORA-compliance,
gedocumenteerd en verdedigbaar

De Europese verordening over digitale operationele weerbaarheid van de financiele sector (DORA) verplicht financiele entiteiten - en via een domino-effect hun ICT-dienstverleners - tot een uitputtend contractregister, precieze contractuele clausules en gedateerde auditbewijzen. SYAGA DORA-Express helpt u aan deze eisen te voldoen zonder te improviseren, of u nu financiele entiteit of dienstverlener bent.

17/01
Van toepassing sinds 2025
21
Beoogde entiteitscategorieen (art. 2)
4u
Meldingstermijn voor een groot incident
19
Reeds aangewezen kritieke ICT-dienstverleners

De regelgevende context

DORA is een verordening, geen richtlijn: ze is rechtstreeks van toepassing in alle lidstaten, zonder dat er op een nationale omzettingswet gewacht hoeft te worden.

DORA is rechtstreeks van toepassing sinds 17 januari 2025

Verordening (EU) 2022/2554 van 14 december 2022, gepubliceerd in het EU-publicatieblad op 27 december 2022, in werking getreden op 16 januari 2023 en van toepassing sinds 17 januari 2025. Geen nationale omzetting vereist: ze is rechtstreeks afdwingbaar.

📋

Een uitputtend ICT-register is vereist (art. 28 lid 3)

Elke financiele entiteit moet een volledig register van haar ICT-contracten bijhouden en jaarlijks aan de autoriteiten doorgeven: dienstverlener, aard van de dienst, kritikaliteit van de functie, land van hosting van de gegevens.

📄

Uw contracten moeten precieze clausules bevatten (art. 30)

Audit- en inspectierechten, garanties voor beschikbaarheid en integriteit van gegevens, geteste uittredingsplannen, onmiddellijke incidentmelding. Deze clausules komen van uw financiele klant naar u toe als u zijn ICT-dienstverlener bent.

📧

De due-diligencevragenlijst zit al in uw mailbox

Voordat een contract wordt getekend of verlengd, stuurt een bank, verzekeraar of belegger een cybervragenlijst (governance, MFA, EDR, versleuteling, bewustwording). Deze zonder gedocumenteerd bewijs beantwoorden doet u het contract verliezen.

De aanleiding van 18 november 2025

Uw cloudleveranciers zijn zojuist officieel aangewezen als "kritiek"

Op 18-19 november 2025 hebben de Europese toezichthoudende autoriteiten (EBA, ESMA, EIOPA) de eerste officiele lijst van kritieke ICT-dienstverleners gepubliceerd, op grond van artikel 32 van DORA. Onder de door de officiele persberichten bevestigde namen: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (en 14 andere dienstverleners die in onze bronnen niet met naam bevestigd zijn).

Concreet gevolg: als uw kritieke diensten op een van deze dienstverleners steunen, moet uw financiele klant dit voortaan documenteren in zijn ICT-register - en kan hij u vragen stellen over uw eigen onderaannemingsketen.

Bron: officiele persberichten van EIOPA en ESMA van 18-19 november 2025 (eiopa.europa.eu, esma.europa.eu).

Onze aanpak: DORA-Express

Een gestructureerde begeleiding in 5 stappen om uw compliance te documenteren - zonder te beloven wat noch een tool, noch een adviesbureau, in uw plaats kan certificeren.

1
Stap 1 - Kwalificatie

Wij identificeren uw werkelijke blootstelling

Bent u een direct onderworpen financiele entiteit (een van de 21 categorieen van artikel 2), of een ICT-dienstverlener die indirect wordt geviseerd via de contractuele clausules van uw financiele klanten (artikel 30)? De precieze scope bepaalt al het overige.

2
Stap 2 - Due diligence

Beantwoording van uw cybervragenlijst

Wij beantwoorden uw due-diligencevragenlijst van bank, belegger of verzekeraar (governance, MFA, EDR, versleuteling, bewustwording...) op basis van een technische audit van uw Microsoft 365-tenant als gedateerd en verifieerbaar bewijs.

3
Stap 3 - Register en contracten

ICT-register en clausules artikel 30

Wij helpen u uw register van ICT-contracten (art. 28 lid 3) te structureren en de minimale en versterkte contractuele clausules van artikel 30 in uw leverancierscontracten te verifieren of te integreren.

4
Stap 4 - Continuiteit en weerbaarheid

BCP/DRP sectorprofiel Finance

Onze BCP/DRP Suite biedt een sectorprofiel Finance (DORA, PSD2, ACPR) dat de eisen voor operationele-weerbaarheidstesten van hoofdstuk IV van DORA dekt, afgestemd op ISO 22301.

5
Stap 5 - Oplevering

Een gedocumenteerd compliancedossier

Overdracht aan uw directie, uw CISO of uw CFO van een geconsolideerd dossier, met de precieze punten die door uw juridisch adviseur moeten worden beslecht voordat er iets naar de autoriteiten wordt gecommuniceerd.

Wat u ontvangt

Concrete, onderbouwde opleveringen, zonder belofte van certificering die niemand kan garanderen

📝

Cyber-due-diligenceantwoorden

10 typevragen due diligence bank/M&A, gedocumenteerd en onderbouwd (ILPA DDQ, CSA CAIQ, cyberverzekeraarsvragenlijsten).

  • Beveiligingsbeleid / erkend referentiekader
  • MFA, minimale privileges, bevoorrechte accounts
  • M365-licentie, EDR / threat hunting
  • Legacyprotocollen, schijfversleuteling
  • Bewustwordingsprogramma
📄

DORA-referentiefiche

Onderbouwde samenvatting van Verordening (EU) 2022/2554.

  • Scope: 21 entiteitscategorieen (art. 2)
  • 5 verplichtingsdomeinen
  • Meldingstermijnen (4u / 72u / 1 maand)
  • Verhouding met NIS2 (lex specialis)
📋

ICT-register (sjabloon art. 28 lid 3)

Structuur van het door de autoriteiten vereiste uitputtende register.

  • Dienstverlener en aard van de dienst
  • Kritikaliteit van de ondersteunde functie
  • Land van hosting van de gegevens
  • Formaat klaar voor jaarlijkse doorgifte
🔐

Contractuele clausules (sjabloon art. 30)

Te integreren of te verifieren in uw ICT-leverancierscontracten.

  • Minimale clausules (alle contracten)
  • Versterkte clausules (kritieke functies)
  • Audit- en inspectierechten
  • Uittredingsplannen en extraheerbaarheid van gegevens
🏗

BCP/DRP profiel Finance

Bedrijfscontinuiteits- en herstelplan, specifiek sectorprofiel.

  • Dekking hoofdstuk IV DORA (weerbaarheidstesten)
  • Afgestemd op ISO 22301
  • Sectorprofiel DORA / PSD2 / ACPR
  • Afkomstig van onze bestaande BCP/DRP Suite
💾

Gedocumenteerd compliancedossier

PDF- en DOCX-formaten, die alle opleveringen consolideren.

  • Klaar voor uw directie / CISO / CFO
  • Punten om door uw advocaat te laten valideren gemarkeerd
  • Basis voor uw contacten met ACPR / AMF (Franse toezichthouders)
  • Bewerkbaar voor jaarlijkse update

Een voorbeeld: de due-diligencevragenlijst van een bank

Uittreksel van de 10 vragen die wij voor u documenteren, met de bron van elke vraag

Thema Vraag Bron
Governance Is uw beveiligingsbeleid gebaseerd op een erkend referentiekader (NIST, ISO 27001)? ILPA DDQ 2.0
Externe audit Voert u een onafhankelijke jaarlijkse audit en penetratietests uit? CSA CAIQ v4
Incidentplan Bestaat er een formeel, gedocumenteerd en onderhouden incidentresponsplan? CSA CAIQ v4 / ILPA DDQ 2.0
MFA Voor welke diensten verplicht u multifactorauthenticatie? Travelers - MFA Supplement
Bevoorrechte accounts Volgen de toegangen het principe van minimale privileges, periodiek herzien? CSA CAIQ v4 IAM
E-mail Welke M365-licentie gebruikt u? Is Defender / geavanceerde threat hunting actief? vCSO.ai Cyber DD Checklist
Versleuteling Zijn de schijven van de eindpunten volledig versleuteld? Google VSAQ
Training Is er een beveiligingsbewustwordingsprogramma voor alle medewerkers opgesteld? CSA CAIQ v4 HRS

Gedekte teksten en referentiekaders

Elke oplevering vermeldt expliciet wat ze dekt - en wat niet

DO

DORA (Verordening EU 2022/2554)

ICT-register (art. 28), contractuele clausules (art. 30), meldingstermijnen (art. 19), verwijzing naar de aangewezen kritieke ICT-dienstverleners (art. 32).

N2

NIS2 - verhouding met DORA

DORA is een lex specialis ten opzichte van NIS2 voor de financiele sector: de betrokken entiteiten passen DORA toe in plaats van de gelijkwaardige NIS2-maatregelen.

ISO

ISO 22301 - bedrijfscontinuiteit

Het BCP/DRP-profiel Finance is afgestemd op ISO 22301, het referentiekader voor bedrijfscontinuiteitsbeheer dat als aanvulling op DORA wordt gebruikt.

RG

AVG - afzonderlijke melding

De DORA-incidentmelding (ACPR/AMF) is losstaand van de AVG-melding (CNIL) bij een inbreuk in verband met persoonsgegevens: beide kunnen tegelijk vereist zijn.

Een begeleiding aangepast aan uw situatie

Elk DORA-dossier is anders naargelang uw status - in alle gevallen een offerte op maat

ICT-dienstverlener

U levert diensten aan een of meerdere financiele entiteiten

Offerte
afhankelijk van de scope
  • Beantwoording cyber-due-diligence
  • ICT-register aan dienstverlenerszijde
  • Herziening van clausules artikel 30
  • Gedocumenteerd dossier klaar om door te geven
Offerte aanvragen

Jaarlijkse opvolging

Regelmatige update van het dossier (verplichtingen, contracten, register)

Offerte
terugkerend
  • Update van het ICT-register
  • Jaarlijkse herziening van de contractuele clausules
  • Monitoring van de aangewezen kritieke dienstverleners
  • Ondersteuning bij uw klant-due-diligences
Offerte aanvragen

Veelgestelde vragen

Is mijn bedrijf een financiele entiteit die onder DORA valt?
Artikel 2 van DORA somt 21 categorieen van financiele entiteiten op: krediet- en betalingsinstellingen, beleggingsondernemingen, onder MiCA vergunde cryptoactivadienstverleners, verzekeraars en herverzekeraars, fondsbeheer, ratingbureaus, en andere. Micro-ondernemingen (minder dan 10 werknemers, omzet of balanstotaal onder 2 miljoen EUR) genieten een proportionele toepassing op bepaalde verplichtingen, maar zijn niet volledig uitgesloten. Per geval te verifieren met juridisch advies.
Ik ben geen bank, waarom raakt DORA mij dan toch?
Als u ICT-diensten (informatica, cloud, software, hosting) levert aan een financiele entiteit, verplicht artikel 30 uw klant om u in zijn register op te nemen en u contractueel precieze clausules op te leggen: auditrechten, onmiddellijke incidentmelding, uittredingsplannen. Deze verplichtingen lopen via het contract van uw klant, niet via een rechtstreeks toezicht van de autoriteit - tenzij u zelf wordt aangewezen als kritieke ICT-dienstverlener (artikel 31).
Wat zijn de meldingstermijnen voor een groot ICT-incident?
Artikel 19: eerste melding binnen 4 uur na de classificatie als groot incident (uiterlijk 24 uur na detectie), tussentijds rapport binnen 72 uur, eindrapport binnen 1 maand. Deze meldingen staan los van een eventuele AVG-melding aan de CNIL bij een inbreuk in verband met persoonsgegevens.
Wat is een "kritieke ICT-dienstverlener"?
Dit zijn dienstverleners die expliciet door de Europese toezichthoudende autoriteiten (EBA, ESMA, EIOPA) worden aangewezen op basis van criteria van systemische impact, vervangbaarheid en afhankelijkheid (artikel 31). De eerste officiele lijst, gepubliceerd op 18-19 november 2025, telt 19 dienstverleners. Zij zijn onderworpen aan rechtstreeks toezicht (inspecties, uitgebreide rapportage); de overige ICT-dienstverleners blijven uitsluitend omkaderd door de contractuele clausules van hun financiele klanten.
Vervangt DORA NIS2 voor mijn sector?
Ja, voor financiele entiteiten in de zin van artikel 2: DORA vormt een lex specialis ten opzichte van NIS2 voor de financiele sector. De 21 beoogde categorieen passen DORA toe in plaats van de gelijkwaardige NIS2-maatregelen inzake risicobeheer en incidentmelding.
Vormt deze dienst juridisch advies?
Nee. DORA-Express is een documentair begeleidingsinstrument, geen juridisch advies. De precieze onderworpenheid van uw organisatie aan DORA en de juridische conformiteit van uw contracten moeten voor elke bindende beslissing worden gevalideerd door een gespecialiseerde advocaat.

Klaar om uw DORA-compliance te documenteren?

Neem contact met ons op voor een offerte op maat naargelang uw status (financiele entiteit of ICT-dienstverlener).

DORA-Express is een documentair begeleidingsinstrument en vormt geen juridisch advies. De onderworpenheid van uw organisatie aan DORA en de juridische geldigheid van uw contracten en registers moeten worden bevestigd door een gespecialiseerde advocaat.

Regelgevende monitoring - officiele bronnen

DORA eenvoudig uitgelegd, zonder juridisch jargon. Elk punt hieronder verwijst naar de officiele tekst die het bevestigt.

Wie is betrokken?

DORA is van toepassing op Europese financiele spelers: banken, verzekeraars, beleggingsondernemingen, marktplatformen, fondsbeheerders, betalingsdienstverleners... en op hun IT-dienstverleners. Zeer kleine structuren genieten verlichte regels.

officiele bron (EUR-Lex) ↗

Wat DORA concreet van u vraagt

De verordening dekt 6 grote onderwerpen: het beheer van IT-risico's, het toezicht op uw externe dienstverleners, regelmatige weerbaarheidstests, de melding van ernstige incidenten, het delen van dreigingsinformatie, en het toezicht op de grootste IT-dienstverleners.

officiele bron (EIOPA) ↗

De data om te onthouden

Tekst aangenomen op 14 december 2022, gepubliceerd in het Publicatieblad van de EU op 27 december 2022 (PB L 333). In werking getreden op 16 januari 2023. De verplichtingen zijn daadwerkelijk verschuldigd sinds 17 januari 2025.

bron EUR-Lex ↗ ยท bron ESMA ↗

Uw IT-dienstverleners worden ook gecontroleerd

De grootste IT-dienstverleners (cloud, hosting...) die als "kritiek" voor de financiele sector worden beoordeeld, worden voortaan rechtstreeks op Europees niveau gecontroleerd, met een leidende toezichthouder die hun maatregelen kan opleggen.

officiele bron (EIOPA) ↗

Eindelijk een geharmoniseerde incidentmelding

Voor DORA had elk EU-land zijn eigen regels om een ernstig IT-incident te melden. Voortaan geldt een enkele Europese procedure: grote incidenten worden rechtstreeks aan de bevoegde autoriteiten gemeld.

bron EUR-Lex ↗

En de sancties?

De tekst bepaalt dat de autoriteiten de bestuurlijke sancties die zij uitspreken publiceren. De precieze boetebedragen zijn in de tot op heden geraadpleegde bronnen nog niet gestabiliseerd - te bevestigen naarmate er officiele verduidelijkingen komen.

bron EUR-Lex (overweging 97) ↗