De Europese verordening over digitale operationele weerbaarheid van de financiele sector (DORA) verplicht financiele entiteiten - en via een domino-effect hun ICT-dienstverleners - tot een uitputtend contractregister, precieze contractuele clausules en gedateerde auditbewijzen. SYAGA DORA-Express helpt u aan deze eisen te voldoen zonder te improviseren, of u nu financiele entiteit of dienstverlener bent.
DORA is een verordening, geen richtlijn: ze is rechtstreeks van toepassing in alle lidstaten, zonder dat er op een nationale omzettingswet gewacht hoeft te worden.
Verordening (EU) 2022/2554 van 14 december 2022, gepubliceerd in het EU-publicatieblad op 27 december 2022, in werking getreden op 16 januari 2023 en van toepassing sinds 17 januari 2025. Geen nationale omzetting vereist: ze is rechtstreeks afdwingbaar.
Elke financiele entiteit moet een volledig register van haar ICT-contracten bijhouden en jaarlijks aan de autoriteiten doorgeven: dienstverlener, aard van de dienst, kritikaliteit van de functie, land van hosting van de gegevens.
Audit- en inspectierechten, garanties voor beschikbaarheid en integriteit van gegevens, geteste uittredingsplannen, onmiddellijke incidentmelding. Deze clausules komen van uw financiele klant naar u toe als u zijn ICT-dienstverlener bent.
Voordat een contract wordt getekend of verlengd, stuurt een bank, verzekeraar of belegger een cybervragenlijst (governance, MFA, EDR, versleuteling, bewustwording). Deze zonder gedocumenteerd bewijs beantwoorden doet u het contract verliezen.
Op 18-19 november 2025 hebben de Europese toezichthoudende autoriteiten (EBA, ESMA, EIOPA) de eerste officiele lijst van kritieke ICT-dienstverleners gepubliceerd, op grond van artikel 32 van DORA. Onder de door de officiele persberichten bevestigde namen: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (en 14 andere dienstverleners die in onze bronnen niet met naam bevestigd zijn).
Concreet gevolg: als uw kritieke diensten op een van deze dienstverleners steunen, moet uw financiele klant dit voortaan documenteren in zijn ICT-register - en kan hij u vragen stellen over uw eigen onderaannemingsketen.
Bron: officiele persberichten van EIOPA en ESMA van 18-19 november 2025 (eiopa.europa.eu, esma.europa.eu).
Een gestructureerde begeleiding in 5 stappen om uw compliance te documenteren - zonder te beloven wat noch een tool, noch een adviesbureau, in uw plaats kan certificeren.
Bent u een direct onderworpen financiele entiteit (een van de 21 categorieen van artikel 2), of een ICT-dienstverlener die indirect wordt geviseerd via de contractuele clausules van uw financiele klanten (artikel 30)? De precieze scope bepaalt al het overige.
Wij beantwoorden uw due-diligencevragenlijst van bank, belegger of verzekeraar (governance, MFA, EDR, versleuteling, bewustwording...) op basis van een technische audit van uw Microsoft 365-tenant als gedateerd en verifieerbaar bewijs.
Wij helpen u uw register van ICT-contracten (art. 28 lid 3) te structureren en de minimale en versterkte contractuele clausules van artikel 30 in uw leverancierscontracten te verifieren of te integreren.
Onze BCP/DRP Suite biedt een sectorprofiel Finance (DORA, PSD2, ACPR) dat de eisen voor operationele-weerbaarheidstesten van hoofdstuk IV van DORA dekt, afgestemd op ISO 22301.
Overdracht aan uw directie, uw CISO of uw CFO van een geconsolideerd dossier, met de precieze punten die door uw juridisch adviseur moeten worden beslecht voordat er iets naar de autoriteiten wordt gecommuniceerd.
Concrete, onderbouwde opleveringen, zonder belofte van certificering die niemand kan garanderen
10 typevragen due diligence bank/M&A, gedocumenteerd en onderbouwd (ILPA DDQ, CSA CAIQ, cyberverzekeraarsvragenlijsten).
Onderbouwde samenvatting van Verordening (EU) 2022/2554.
Structuur van het door de autoriteiten vereiste uitputtende register.
Te integreren of te verifieren in uw ICT-leverancierscontracten.
Bedrijfscontinuiteits- en herstelplan, specifiek sectorprofiel.
PDF- en DOCX-formaten, die alle opleveringen consolideren.
Uittreksel van de 10 vragen die wij voor u documenteren, met de bron van elke vraag
| Thema | Vraag | Bron |
|---|---|---|
| Governance | Is uw beveiligingsbeleid gebaseerd op een erkend referentiekader (NIST, ISO 27001)? | ILPA DDQ 2.0 |
| Externe audit | Voert u een onafhankelijke jaarlijkse audit en penetratietests uit? | CSA CAIQ v4 |
| Incidentplan | Bestaat er een formeel, gedocumenteerd en onderhouden incidentresponsplan? | CSA CAIQ v4 / ILPA DDQ 2.0 |
| MFA | Voor welke diensten verplicht u multifactorauthenticatie? | Travelers - MFA Supplement |
| Bevoorrechte accounts | Volgen de toegangen het principe van minimale privileges, periodiek herzien? | CSA CAIQ v4 IAM |
| Welke M365-licentie gebruikt u? Is Defender / geavanceerde threat hunting actief? | vCSO.ai Cyber DD Checklist | |
| Versleuteling | Zijn de schijven van de eindpunten volledig versleuteld? | Google VSAQ |
| Training | Is er een beveiligingsbewustwordingsprogramma voor alle medewerkers opgesteld? | CSA CAIQ v4 HRS |
Elke oplevering vermeldt expliciet wat ze dekt - en wat niet
ICT-register (art. 28), contractuele clausules (art. 30), meldingstermijnen (art. 19), verwijzing naar de aangewezen kritieke ICT-dienstverleners (art. 32).
DORA is een lex specialis ten opzichte van NIS2 voor de financiele sector: de betrokken entiteiten passen DORA toe in plaats van de gelijkwaardige NIS2-maatregelen.
Het BCP/DRP-profiel Finance is afgestemd op ISO 22301, het referentiekader voor bedrijfscontinuiteitsbeheer dat als aanvulling op DORA wordt gebruikt.
De DORA-incidentmelding (ACPR/AMF) is losstaand van de AVG-melding (CNIL) bij een inbreuk in verband met persoonsgegevens: beide kunnen tegelijk vereist zijn.
Elk DORA-dossier is anders naargelang uw status - in alle gevallen een offerte op maat
U levert diensten aan een of meerdere financiele entiteiten
U bent rechtstreeks onderworpen aan DORA (een van de 21 categorieen, art. 2)
Regelmatige update van het dossier (verplichtingen, contracten, register)
Neem contact met ons op voor een offerte op maat naargelang uw status (financiele entiteit of ICT-dienstverlener).
DORA eenvoudig uitgelegd, zonder juridisch jargon. Elk punt hieronder verwijst naar de officiele tekst die het bevestigt.
DORA is van toepassing op Europese financiele spelers: banken, verzekeraars, beleggingsondernemingen, marktplatformen, fondsbeheerders, betalingsdienstverleners... en op hun IT-dienstverleners. Zeer kleine structuren genieten verlichte regels.
De verordening dekt 6 grote onderwerpen: het beheer van IT-risico's, het toezicht op uw externe dienstverleners, regelmatige weerbaarheidstests, de melding van ernstige incidenten, het delen van dreigingsinformatie, en het toezicht op de grootste IT-dienstverleners.
Tekst aangenomen op 14 december 2022, gepubliceerd in het Publicatieblad van de EU op 27 december 2022 (PB L 333). In werking getreden op 16 januari 2023. De verplichtingen zijn daadwerkelijk verschuldigd sinds 17 januari 2025.
De grootste IT-dienstverleners (cloud, hosting...) die als "kritiek" voor de financiele sector worden beoordeeld, worden voortaan rechtstreeks op Europees niveau gecontroleerd, met een leidende toezichthouder die hun maatregelen kan opleggen.
Voor DORA had elk EU-land zijn eigen regels om een ernstig IT-incident te melden. Voortaan geldt een enkele Europese procedure: grote incidenten worden rechtstreeks aan de bevoegde autoriteiten gemeld.
De tekst bepaalt dat de autoriteiten de bestuurlijke sancties die zij uitspreken publiceren. De precieze boetebedragen zijn in de tot op heden geraadpleegde bronnen nog niet gestabiliseerd - te bevestigen naarmate er officiele verduidelijkingen komen.