DORA, eenvoudig uitgelegd: de wet die de financiële sector beschermt tegen storingen en cyberaanvallen
4
Min
•
06.07.2026
Kort gezegd: DORA verplicht banken, verzekeraars en andere financiële spelers, evenals hun technologieleveranciers, om te blijven functioneren, zelfs bij een IT-storing of een cyberaanval. De wet is al van kracht sinds januari 2025, en 2026 markeert het begin van de controles.
Wat is DORA precies?
DORA is een Europese wet: de Verordening (EU) 2022/2554. De volledige naam, "Digital Operational Resilience Act", betekent simpelweg "wet over het vermogen van digitale systemen om stand te houden".
Het idee laat zich in één zin samenvatten: wanneer een bank of een verzekeraar afhankelijk is van IT om te functioneren, is een storing of een cyberaanval geen simpel technisch probleempje meer, maar een risico voor het hele financiële systeem. DORA legt daarom gemeenschappelijke regels op om die incidenten te voorkomen, er snel op te reageren wanneer ze zich voordoen, en klanten te blijven bedienen.
Twee dingen om te onthouden:
- De wet is van toepassing sinds 17 januari 2025. Ze werkt rechtstreeks door, zonder tussenkomst van een nationale wet.
- Ze heeft betrekking op ongeveer twintig soorten financiële entiteiten (banken, verzekeraars, betaaldienstverleners, fintechs, fondsbeheerders), en ook op hun technologieleveranciers.
Voor wie geldt DORA (en waarom het verder gaat dan banken)
Het punt dat vaak verkeerd wordt begrepen: DORA stopt niet bij financiële instellingen. Ze geldt ook voor hun IT-leveranciers. Een softwareleverancier die zijn diensten aan een bank verkoopt, wordt in de ogen van de wet een schakel in de solide werking van die bank. Hij moet dus aan dezelfde eisen kunnen voldoen: veiligheid, beschikbaarheid, inzagerecht voor de klant.
Met andere woorden: als je technologie levert aan de financiële sector, dan geldt DORA ook voor jou, ook al ben je zelf geen bank.
Wat DORA vraagt, in 5 punten
1. IT-risico's beheren
Je tools in kaart brengen, de gevoelige punten identificeren, een plan voorzien om te blijven functioneren bij een tegenslag. De verantwoordelijkheid reikt tot aan de directie.
2. Ernstige incidenten melden
Elk groot IT-incident moet gemeld worden aan de autoriteiten, binnen termijnen en in een format die overal in Europa identiek zijn.
3. Je weerbaarheid testen
De belangrijkste spelers moeten hun verdediging laten testen met echte aanvalssimulaties, minstens één keer per drie jaar.
4. Je IT-leveranciers monitoren
Dit is het meest structurele punt. De contracten met leveranciers moeten duidelijke garanties bevatten: veiligheid, auditrecht, kader voor onderaanneming, locatie van de gegevens, mogelijkheid om van leverancier te wisselen. De leveranciers die als het meest kritiek worden beschouwd, worden zelfs rechtstreeks op Europees niveau gemonitord.
5. Informatie over cyberdreigingen delen
DORA moedigt financiële spelers aan om onderling informatie over dreigingen uit te wisselen om zich collectief beter te verdedigen.
Waar staan we in 2026?
De wet wordt sinds ongeveer achttien maanden toegepast. In Frankrijk is de ACPR overgestapt van begeleiding naar verscherpte controles. De lopende werven: het register van je IT-leveranciers actueel houden, de kritieke leveranciers aanwijzen, en de veiligheidstests opstarten voor de grootste spelers.
Het kernpunt: je leveranciers en bedrijven goed kennen
DORA herinnert aan een evidentie: een bank is alleen solide als haar leveranciers dat ook zijn. Dit verplicht instellingen om de bedrijven waarmee ze samenwerken beter te beoordelen.
Dat is precies de logica van het verifiëren van leveranciers en bedrijven (KYB): een bedrijf, zijn bestuurders en zijn betrouwbaarheid verifiëren vóór en tijdens de relatie, dankzij een vertrouwensscore van een bedrijf.
Wat kost non-compliance
De sancties zijn zwaar. Een financiële instelling riskeert tot 2 % van haar wereldwijde jaaromzet. Een kritieke leverancier kan elke dag gesanctioneerd worden dat hij niet in orde is, tot 1 % van zijn gemiddelde dagomzet, gedurende zes maanden. Voorbij de boete staat ook het vertrouwen van de klanten op het spel.
DORA en de strijd tegen fraude
Operationeel blijven en fraude bestrijden, dat is dezelfde strijd: betrouwbare en beschikbare klantreizen. Een systeem voor identiteit en fraudedetectie dat uitvalt, is een open deur voor fraudeurs. Het beveiligen van die trajecten dient dus zowel de DORA-compliance als de bescherming tegen fraude.
Jouw DORA-checklist
Je zit op het goede spoor als je op elk punt ja kunt antwoorden:
- De lijst van je IT-leveranciers is actueel.
- Je leverancierscontracten voorzien de DORA-garanties (audit, veiligheid, omkeerbaarheid).
- Je weet een groot IT-incident te detecteren en te melden.
- Je veiligheidstests zijn gepland.
- Je beoordeelt de betrouwbaarheid van je leveranciers en zakelijke klanten (KYB).
Ter conclusie
DORA maakt van IT-soliditeit een wettelijke verplichting, niet langer een simpele goede praktijk. En ze stuurt een duidelijke boodschap naar het hele ecosysteem: je leveranciers kennen, je klantreizen beveiligen en je beslissingen bijhouden is niet langer optioneel. Goed nieuws: het zijn reflexen die ook beschermen tegen fraude.
Bronnen: Verordening (EU) 2022/2554 (DORA), Publicatieblad van de Europese Unie; ACPR, DORA-dossier.
Beoordeel je leveranciers, maak je klantreizen betrouwbaar
Meelo helpt financiële spelers om hun leveranciers en zakelijke klanten te kennen en te beoordelen (KYB, vertrouwensscore, het verifiëren van leveranciers en bedrijven), en om hun identiteits- en antifraudetrajecten te beveiligen. Een beslissing in 2 tot 5 seconden, gedocumenteerd en controleerbaar.

%20(1).jpg)
.png)
.jpg)