DORA 2026: wat financiële instellingen nu kunnen doen

De Digital Operational Resilience Act (DORA) is op 17 januari 2025 van kracht geworden en stelt nieuwe eisen aan de digitale weerbaarheid van financiële instellingen. Een van de eerste toetsen was de aanlevering van het informatieregister: een compleet overzicht van contractuele afspraken met externe ICT-dienstverleners. Dit register is de kern van DORA’s aanpak om ICT-ketenrisico’s zichtbaar te maken. Immers als je niet weet wat je hebt wordt het duiden van risico’s complex. Op 23 april 2025 moesten alle Nederlandse financiële instellingen dit informatieregister voor het eerst aanleveren bij De Nederlandsche Bank (DNB). Dit register is niet zomaar een administratieve verplichting: het vormt de kern van DORA’s aanpak om ICT-ketenrisico’s zichtbaar te maken.

Uit de praktijk blijkt dat veel organisaties nog volop bezig waren met de voorbereiding toen de aanlever deadline naderde - het inzichtelijk krijgen van alle afhankelijkheden in hun ICT-uitbestedingsketen. Intern moest een enorme hoeveelheid informatie worden verzameld: welke IT-partijen leveren welke diensten, welke contracten zijn er, wanneer zijn leveranciers voor het laatst geaudit, welke subcontractors zijn erbij betrokken, etc. Dit bleek een hele zoektocht, omdat data over leveranciers vaak verspreid is over meerdere afdelingen en systemen.

Doordat de vereisten en het aanleverproces nieuw waren, hadden diverse instellingen moeite om hun informatieregister technisch geaccepteerd te krijgen in het portalsysteem van DNB. Met extra inspanning slaagden de meesten er uiteindelijk in om hun register correct aan te leveren. Dit maakte de eerste ronde vooral een generale repetitie.

DNB gaf na de eerste ronde aan dat dankzij grote inzet van de sector “inmiddels de meerderheid van de informatieregisters” was geaccepteerd en doorgestuurd. Het bleef echter mogelijk dat de Europese toezichthouders nog verdere opmerkingen zouden hebben, met name over ontbrekende verplichte velden of validatiefouten. Uit de evaluatie bleek bijvoorbeeld dat veel registers nog onvolledig waren ingevuld – iets wat in de officiële rapportage niet meer wordt geaccepteerd. DNB benadrukte daarom dat kwaliteit boven kwantiteit ging: als een register nog niet 100% compleet was, dan liever een deels ontbrekend register met goede data dan een gevuld register vol fouten. Per 1 juni 2025 zijn de ESA’s begonnen met het analyseren van alle ingediende registers, om zo de grootste en meest kritieke ICT-leveranciers in Europa aan te wijzen voor direct Europees toezicht. Deze jaarlijkse analyse is uiteindelijk waar het om draait: het voorkomen dat een enkele falende ICT-leverancier (bijvoorbeeld een belangrijke cloud- of core banking provider) een systeembreed risico vormt.

Nu de eerste indieningsronde dus succesvol (zij het met enige moeite) is afgerond is een belangrijke waarschuwing om het informatieregister niet te beschouwen als een eenmalige compliance-oefening – een “check in the box” – en daarna over te gaan tot de orde van de dag. Het register is geen doel op zich is. Zonder actieve updates raakt het register snel verouderd naarmate nieuwe IT-contracten worden gesloten of bestaande wijzigingen ondergaan. Het gaat er om leveranciers- en ketenrisicomanagement structureel in te regelen. Toezichthouders zullen het register jaarlijks opvragen, wat betekent dat de informatie up-to-date moet blijven. Als instellingen het registreren van hun ICT-contracten alleen als verplichte administratie zien, missen ze de kans om er daadwerkelijk lessen uit te trekken. Bovendien lopen ze risico op sancties of ingrepen van de toezichthouder wanneer later blijkt dat het register onvolledig of onnauwkeurig is omdat het intern geen aandacht meer kreeg na die eerste indiening. Kortom, het is belangrijk om van een compliance-gedreven benadering te bewegen naar het daadwerkelijk borgen van ICT-leveranciers- en ketenrisicomanagement in de organisatie.

DORA zelf dwingt niet allen af dat het register actief wordt bijgehouden, maar ook dat instellingen hun uitbestedingsrisico’s continu beheersen. Denk aan het vooraf due diligence doen van leveranciers (niet blind in zee gaan met een IT-leverancier zonder risico-inschatting), het opnemen van uitgebreide beveiligings- en continuïteitsafspraken in contracten, het monitoren van prestaties en beveiligingsmaatregelen van leveranciers gedurende de looptijd, en het opstellen van exit-plannen voor het geval een kritieke leverancier uitvalt.

Dergelijke eisen vergen dat een organisatie een structureel leveranciersmanagementproces heeft ingericht – iets wat je niet bereikt met alleen het vullen van een register. Gebruik het register om risico’s te beheersen. Concreet betekent dit:

• Houd het informatieregister actueel en benut het actief.
• Zie het niet als een jaarlijks verplichte opgave voor de toezichthouder, maar als intern stuurinstrument.
• Analyseer welke leveranciers kritiek zijn en welke risico’s daaraan kleven. Gebruik de inzichten om gerichte vragen aan die leveranciers te stellen of aanvullende waarborgen te bedingen.
• Besef dat de data uit het register door de ESA’s wordt gebruikt om systeemrisico’s te monitoren – diezelfde data wordt benut om zwakke plekken in de keten te identificeren.
• Investeer in structureel leveranciersmanagement.
• Zorg dat er binnen de organisatie duidelijke eigenaren zijn voor het management van uitbestedingen.
• DORA schrijft voor dat ook het bestuur eindverantwoordelijkheid draagt voor ICT-risicomanagement. Het bestuur zou dus moeten verlangen om periodiek inzicht te krijgen in de status van kritieke leveranciers, auditrapporten, verbeterplannen, etc. Bouw deze rapportages in in de reguliere risk management cyclus.

De NIS2-richtlijn geldt voor meerdere vitale sectoren en legt eveneens nadruk op leveranciers- en ketenrisico’s. Net als DORA verplicht NIS2 organisaties om ketenrisico’s mee te nemen in hun risicomanagement. Een belangrijk verschil is dat DORA een centraal informatieregister kent, terwijl NIS2 dit niet expliciet voorschrijft. Organisaties in andere sectoren kunnen leren van de ervaringen met DORA in de financiële sector:

• Het belang van een register: een actueel overzicht van leveranciers en de keten is cruciaal om grip te krijgen op ketenrisico’s.
• Proces boven administratie: een register is een middel om risico’s te managen, niet een doel op zich.
• Benadering: omarm leveranciers- en ketenrisicomanagement als strategisch thema, niet enkel als compliance thema.

Waar de eerste ronde in 2025 vooral een oefening was in verzamelen en opleveren, ligt de nadruk voor 2026 op kwaliteit en structurele borging. Vanaf 2026 rapporteren nationale toezichthouders de registers eind maart aan de Europese autoriteiten. Daarom is het waarschijnlijk dat toezichthouder in de eerste maanden van 2026 opnieuw een uitvraag doet om tijdig richting de Europese toezichthouders te kunnen rapporteren.

Wie nu al anticipeert op de jaarlijkse cyclus en de hogere verwachtingen van toezichthouders, staat organisatorisch sterker in de digitale weerbaarheid. In de voorbereiding neem alvast de volgende stappen:

• Houd het register actueel
  Wacht niet tot begin 2026, maar onderhoud het informatieregister continu. Zo voorkom je dat je in het eerste kwartaal van 2026 voor verrassingen komt te staan.
• Kwaliteitsborging inbouwen
  Zorg voor interne controles: klopt de lijst met contracten, zijn alle kritieke ICT-dienstverleners opgenomen, zijn er geen doublures of inconsistenties?
• Governance en verantwoordelijkheid
  Wijs duidelijk eigenaarschap toe binnen de organisatie. Vaak is dit een samenspel van inkoop, ICT, risicomanagement en compliance.
• Volg communicatie van DNB
  Houd de updates van DNB in de gaten. Zodra de exacte deadlines en instructies voor 2026 bekend zijn, moet je snel kunnen schakelen.

Highberg helpt u graag met het vertalen van deze verplichtingen naar praktische stappen en zorgen we dat u niet alleen compliant bent, maar ook duurzaam sterker staat in security en risicomanagement. Het gaat om het verankeren van security en leveranciers- en ketenrisicomanagement in de organisatie om uw digitale weerbaarheid structureel te versterken.

Neem contact op met Veroniek Binkhorst of Geert Eggens.