DORA 2026: Van compliance naar structureel risicomanagement

De doelstelling van de DORA (Digital Operational Resilience Act) is om de digitale weerbaarheid van financiële instellingen in de EU te versterken. Een heel belangrijk onderdeel van de DORA zijn uniforme regels voor ICT-risicobeheer in de leveranciersketen. Het gaat hierbij om structureel inzicht in de gehele leveranciersketen en het actief managen van risico’s die daarin actueel zijn. Hierbij is een grote rol weggelegd voor het informatieregister. Na de eerste aanlevering van het informatieregister in april 2025 verschuift de focus voor 2026 naar kwaliteit, efficiëntie en structurele borging hiervan. Wacht hier niet mee! Financiële instellingen die nú actie ondernemen – door hun register actueel te houden, eigenaarschap duidelijk te beleggen – staan sterker in toezicht én in digitale weerbaarheid.

In dit artikel bespreken we diverse ervaringen met het informatieregister, leggen we de link met ketenrisicomanagement, en maken we de vergelijking met de NIS2-richtlijn. Ook staan we stil bij de lessen die andere sectoren kunnen trekken uit de ervaringen van de financiële sector.

Implementatie van DORA: meer dan een afvinkoefening

De Digital Operational Resilience Act (DORA) is op 17 januari 2025 van kracht geworden en stelt nieuwe eisen aan de digitale weerbaaheid van financiële instellingen. Een van de eerste toetsen was de aanlevering van het informatieregister: een compleet overzicht van contractuele afspraken met externe ICT-dienstverleners. Dit register is de kern van DORA’s aanpak om ICT-ketenrisico’s zichtbaar te maken. Immers als je niet weet wat je hebt wordt het duiden van risico’s complex. Op 23 april 2025 moesten alle Nederlandse financiële instellingen dit informatieregister voor het eerst aanleveren bij De Nederlandsche Bank (DNB). Dit register is niet zomaar een administratieve verplichting: het vormt de kern van DORA’s aanpak om ICT-ketenrisico’s zichtbaar te maken.

[....]