TL;DR. De operationele pijlers van DORA vereisen aantoonbare incidentdiscipline, geen beleidsdocumenten. Financiële entiteiten classificeren ICT-incidenten aan de hand van drempelwaarden in Gedelegeerde Verordening 2024/1772, dienen een eerste melding in binnen 4 uur na belangrijke classificatie (24-uursbackstop), een tussentijds rapport binnen 72 uur en een eindrapport na een maand. Aangewezen entiteiten voeren om de drie jaar dreigingsgestuurde penetratietests uit in het kader van TIBER-EU. De NBB en de FSMA controleren de bewijsketen zelf.
Je DORA-informatieregister is opgesteld en ingediend. De volgende vraag die je auditor zal stellen is moeilijker. Kun je de operationele discipline erachter bewijzen? De Belgische Nationale Bank, de FSMA in Brussel, BaFin in Bonn en DNB in Amsterdam zijn in 2026 allemaal overgestapt van coöperatieve gap-remediation naar evidence-driven handhaving. Ze willen tijdstempels, classificatieredenen, logboeksporen en notulen van de raad van bestuur, geen beleids-PDF’s. Het geval van de vermogensbeheerder waarbij Jimber hielp de beveiligingskosten met 58% te verlagen, is hier een nuttig bewijs. Dezelfde architectuur die het register vereenvoudigde, produceerde ook de auditklare logboeken die de FSMA nu verwacht.
Wat de operationele veerkracht van DORA vereist in 2026
Artikel 6 van de DORA omschrijft operationele veerkracht als het vermogen om de integriteit en betrouwbaarheid van elk ICT-systeem dat een kritieke of belangrijke functie ondersteunt, op te bouwen, te waarborgen en te herzien. De artikelen 17 tot en met 27 verdelen deze vereiste vervolgens in vijf operationele pijlers. ICT-risicobeheer. Classificatie en rapportage van grote incidenten. Testen van digitale operationele veerkracht. ICT-risico’s van derden. Delen van informatie. De twee pijlers waarop de meeste auditbevindingen voor 2026 zijn gebaseerd, zijn incidentbeheer en geavanceerde tests.
ICT-risicobeheer onder artikelen 5 tot en met 16 bepaalt de bestuurlijke basislijn. Het bestuursorgaan is eigenaar, ondertekent het en is persoonlijk verantwoordelijk voor tekortkomingen. Incidentbeheer onder Artikel 17 en 18 vereist een actief incidentenregister, gedefinieerde interne drempels en continue classificatie. Rapportage onder Artikel 19 tot 23 dwingt de 4-uur en 72-uur en één-maand keten af aan het bevoegd gezag. Testen volgens artikel 24 tot 27 vereist een jaarlijks proportioneel testprogramma voor elk systeem dat een kritieke of belangrijke functie ondersteunt. Risico’s van derden, opgenomen in het DORA-informatieregister, brengt de toeleveringsketen in hetzelfde controlekader.
Hoe DORA ICT-incidenten classificeert
Artikel 18 verplicht elke financiële entiteit om elk ICT-gerelateerd incident te classificeren. Gedelegeerde Verordening (EU) 2024/1772 van de Commissie stelt de criteria vast. Het gaat om drie categorieën. Een ICT-gerelateerd incident is elke anomalie in netwerk- en informatiesystemen. Een significante cyberdreiging is een vrijwillig gemeld risicosignaal. Een groot ICT-gerelateerd incident is de gereguleerde meldingsdrempel, gedefinieerd in artikel 6 van de Gedelegeerde Verordening als een gebeurtenis die kritieke of belangrijke functies beïnvloedt, geautoriseerde diensten verstoort of succesvolle ongeautoriseerde toegang vormt.
Om de status van ernstig incident te bereiken, moet aan de basisvoorwaarde worden voldaan en moet het incident de drempel voor gegevensverlies van artikel 9, lid 5, onder b), of ten minste twee andere kwantitatieve drempels overschrijden. De drempels zijn opzettelijk fijnmazig.
Indelingsdimensie Artikel in Gedelegeerde Verordening 2024/1772 Triggerdrempel (illustratief) Rapportagegevolg Cliënten, wederpartijen en transacties Artikel 9, lid 1 Meer dan 10% van de betrokken cliënten en meer dan 100.000 cliënten, of meer dan 30% van de financiële tegenpartijen, of meer dan 10% van het dagelijkse transactievolume of de dagelijkse transactiewaarde Te melden aan NBB / FSMA / BaFin / DNB Gevolgen voor de reputatie Artikel 9, lid 2 Herhaalde klachten van klanten over kritieke bedrijfsonderdelen of enige mate van nationale of internationale media-aandacht Te rapporteren Duur en uitvaltijd Artikel 9, lid 3 Absolute incidentduur van meer dan 24 uur of uitvaltijd van meer dan 2 uur voor systemen die een kritieke of belangrijke functie ondersteunen Te melden Geografische spreiding Artikel 9, lid 4 Effect dat zich over twee of meer EU-lidstaten uitstrekt Te melden Verlies van gegevens Artikel 9, lid 5 Compromittering van beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid die van invloed is op bedrijfsdoelstellingen of naleving van regelgeving Te melden (enkele drempel is voldoende bij succesvolle ongeoorloofde toegang) Economisch effect Artikel 9, lid 6 Directe en indirecte kosten en verliezen van meer dan 100.000 EUR Te melden Artikel 8 van dezelfde verordening dwingt tot aggregatie. Terugkerende incidenten die dezelfde hoofdoorzaak hebben en zich binnen een periode van zes maanden ten minste twee keer voordoen, moeten worden samengevoegd en geclassificeerd als één groot incident als hun gezamenlijke impact de drempelwaarden overschrijdt. Dit is waar de BaFin’s spot-check audits van eind 2025, die doorlopen tot 2026, de meeste hiaten hebben gevonden. Instellingen in het middensegment van de markt volgen tickets geïsoleerd en missen het patroon.
De rapportagetermijnen die controleurs als eerste controleren
Gedelegeerde Verordening (EU) 2025/301 van de Commissie regelt de keten. Eerste melding binnen 4 uur na formele indeling als belangrijk, met een backstop van 24 uur vanaf de eerste bewustwording. Tussentijds rapport binnen 72 uur na de eerste melding, zonder onnodige vertraging bijgewerkt wanneer de normale activiteiten zijn hersteld. Eindverslag binnen een maand na het tussentijds verslag. Uitvoeringsverordening (EU) 2025/302 van de Commissie levert de sjablonen voor bijlage II. Voor entiteiten die niet als significant of systeemrelevant zijn aangemerkt, verschuift elke deadline die in een weekend of op een officiële feestdag valt automatisch naar de middag van de volgende werkdag.
De klok begint te lopen bij bewustwording, niet bij forensische zekerheid. De Autoriteit Financiële Markten waarschuwde de markt op 7 mei 2026 voor precies deze misvatting. De klok van 4 uur laten aanvangen nadat het interne onderzoek is afgerond is een sanctioneerbare overtreding van artikel 19. In dezelfde waarschuwing werd gewezen op de kloof tussen de hoeveelheid meldingen van grote incidenten die de AFM in 2025 ontving en de zichtbare toename van de berichtgeving over cyberincidenten in de reguliere media. Onderrapportage is nu een handhavingsprioriteit.
De eerste melding onder het sjabloon RTS 2025/301 Annex II bevat basisfeiten, getroffen diensten, contactgegevens en een voorlopige classificatieredenering. Het tussentijdse rapport voegt bedreigingsvectoren, de voorlopige hoofdoorzaak en bijgewerkte impact toe. Het eindrapport bevat de volledige hoofdoorzaak, directe en indirecte kosten en een commentaar waarin lering wordt getrokken en dat auditors zullen herlezen als het volgende incident zich voordoet. De NIS2-workflow voor het rapporteren van incidenten is structureel vergelijkbaar, maar rapporteert aan een andere supervisor, wat van belang is in België omdat entiteiten onder DORA-regulering nooit rapporteren aan het CCB.
Dreigingsgestuurde penetratietests (TLPT) onder DORA
De artikelen 26 en 27 introduceren verplichte dreigingsgestuurde penetratietests voor aangewezen entiteiten. Gedelegeerde Verordening (EU) 2025/1190 van de Commissie specificeert wie. G-SIB’s en O-SII’s onder de kredietinstellingen. Centrale effectenbewaarinstellingen, centrale tegenpartijen en handelsplatformen met het grootste nationale marktaandeel of meer dan 5% van het handelsvolume in de EU. Systeemrelevante verzekeraars en herverzekeraars met bruto geboekte premies van meer dan 1,5 miljard euro of technische voorzieningen van meer dan 10 miljard euro. Aangewezen entiteiten voeren minstens om de drie jaar een TLPT uit op live productiesystemen, met een actieve red-teamfase die minstens 12 weken duurt.
De methodologie is gebaseerd op het TIBER-EU-kader van de ECB, dat de ECB in november 2025 heeft bijgewerkt met een SSM-implementatiegids die laat zien hoe TIBER-EU aansluit op DORA-artikel 26. De SSM-implementatiegids laat zien hoe TIBER-EU aansluit bij DORA-artikel 26. Scoping op basis van inlichtingen omvat kritieke of belangrijke functies, een externe aanbieder van inlichtingen over bedreigingen levert een gericht inlichtingenrapport over bedreigingen waarin de echte APT-actoren en TTP’s in kaart worden gebracht, en een gecertificeerde red-team provider voert vervolgens de opdracht uit. Een purple-team replay-fase is verplicht na de red-team-fase, waarbij het red-team het blue-team door de aanvalspaden leidt zodat logboekleemtes, detectiefouten en zwakke plekken in de respons zichtbaar worden.
De volledige kostencyclus voor één TLPT, dreigingsinformatie plus red-team plus intern white-team plus infrastructuur plus optionele externe coördinatie, ligt tussen 140.000 euro en 560.000 euro vóór herstel. Entiteiten in het middensegment van de markt die onder de aanwijzingsdrempels blijven, zijn niet vrijgesteld van geavanceerde tests; zij voeren een evenredig programma uit krachtens artikel 25, dat kwetsbaarheden scans, op scenario’s gebaseerde hersteltests en configuratiebeoordelingen omvat. De verplichtingen van artikel 26 gelden alleen voor aangewezen systeemrelevante entiteiten. Met gebundeld testen volgens artikel 26, lid 8, kunnen kleinere instellingen testers en infrastructuur delen binnen een bankgroep of beroepsorganisatie om de kosten beheersbaar te houden.
Welk bewijs verwachten Belgische auditors (NBB- en FSMA-perspectief)?
De NBB en de FSMA verdelen het Belgische toezicht volgens het tweesporenmodel van het land. De NBB houdt toezicht op banken, betalingsinstellingen, verzekeraars en centrale effectenbewaarinstellingen. De FSMA houdt toezicht op beleggingsondernemingen, markten, financiële tussenpersonen en gedragsregels. De NBB-circulaire NBB_2026_04 van 2 april 2026 bepaalt de procedure van het OneGate-platform voor de melding van grote incidenten in het kader van DORA, en circulaire NBB_2026_05 van dezelfde datum regelt de indiening van het informatieregister. Het CCB ontvangt geen meldingen van incidenten in de financiële sector, de Belgische omzetting van NIS2 sluit het bankwezen en de financiële markten expliciet uit en behandelt DORA als lex specialis.
Auditors zullen om zes categorieën bewijs vragen. Ten eerste, audit-trail onveranderlijkheid, knoeibestendige gecentraliseerde logs van Zero Trust Network Access, firewall, SWG en endpoint bronnen die het incident reconstrueren van eerste toegang tot insluiting. Ten tweede, systeemkoppelingen die kritieke of belangrijke functies koppelen aan de onderliggende SaaS-applicaties, netwerksegmenten en fysieke infrastructuur. Ten derde, testbewijs inclusief kwetsbaarheidsscans, configuratiebeoordelingen, op scenario’s gebaseerde hersteloefeningen en het bijhouden van herstelmaatregelen die aantonen dat zwakke punten zijn verholpen en opnieuw zijn getest. Ten vierde, governance-integratie via notulen van de raad van bestuur die aantonen dat het ICT-risicoraamwerk formeel is beoordeeld en goedgekeurd, met een gedefinieerde risicobereidheidsverklaring. Ten vijfde, playbook mock-runs van driemaandelijkse tabletop-oefeningen. Ten zesde, apparaatstatus als bewijs onder de pijlers derden en bedrijfsmiddelen, om aan te geven dat alleen endpoints die aan de eisen voldoen kritieke applicaties bereiken.
De overlapping tussen DORA en NIS2 in België wordt beheerst door het lex specialis-principe. DORA wint voor de gereguleerde entiteit, maar een managed service provider die zowel een financiële onderneming als een operator van kritieke infrastructuur ondersteunt, kan beide verplichtingen hebben. NIS2-auditverplichtingen onder het CCB-raamwerk en DORA-rapportering onder het NBB OneGate-platform produceren overlappende bewijsstromen waaraan een uniforme loggingarchitectuur kan voldoen vanuit één auditspoor.
Waar SASE-platforms de operationele veerkracht ondersteunen
Een SASE platform maakt een financiële entiteit niet DORA compliant. Het bestuur, het beleid, het testprogramma en het register van derden doen dat. Wat het platform wel kan doen, is de bewijsketen laten instorten die auditors nu willen zien. Platforms als Jimber centraliseren de logging van ZTNA, SWG, FWaaS en SD-WAN in één enkel controlespoor. Dat enkele spoor is belangrijk omdat artikel 17 aantoonbare detectiecapaciteit vereist, artikel 18 verdedigbare classificatieredenen vereist en de artikelen 19 tot en met 23 rapporteerbare tijdstempels vereisen die een nauwkeurig onderzoek overleven. Voor een sectorspecifieke context, onze gids over SASE voor financiële diensten onder DORA behandelt de bredere verticale visie.
Het Jimber SASE-platform verwerkt continue logging op een manier die overeenkomt met specifieke DORA-artikelen. Handhaving van ZTNA per applicatie voldoet aan de vereisten van Artikel 9 voor toegangscontrole en produceert de gebeurtenisstroom per identiteit die nodig is voor incidentreconstructie. FWaaS levert het bewijs voor netwerksegmentatie dat Artikel 9 ook verwacht. SD-WAN telemetrie voedt veerkrachtige connectiviteitsrapportage onder Artikel 24. NIAC-hardware dicht de kloof tussen agentless apparaten, printers, IoT-sensoren, VoIP-telefoons en industriële controllers die geen softwareagent kunnen draaien en die ontbreken in de bevindingen van de BaFin- en FSMA-controles ter plaatse. De jurisdictie van de EU is hier van belang, de CLOUD-wet heeft geen betrekking op gegevens die worden verwerkt en opgeslagen door een provider met hoofdkantoor in België, waardoor een terugkerende vraag over concentratierisico’s onder artikel 28 tot 44 wordt weggenomen. Het platform ondersteunt het bewijs van operationele veerkracht, het vervangt governance niet.
Hoe de vereisten voor operationele veerkracht zullen aanscherpen in 2026 en 2027
Drie krachten verhogen het plafond. De Europese toezichthoudende autoriteiten publiceerden op 18 november 2025 de eerste lijst van 19 aangewezen Critical ICT Third-Party Service Providers, waaronder de dominante hyperscalers, met dwangsommen tot 1% van de gemiddelde dagelijkse wereldwijde omzet voor niet-medewerking aan direct toezicht. Vragen over concentratierisico’s zullen doorwerken in de beoordeling van derden in het middensegment van de markt tot 2026. Nationale bevoegde autoriteiten geven ook aan dat ze een volwassenheid verwachten. In de SREP-cyclus van 2025 scoorden ICT en operationeel risico het slechtst binnen het SSM, wat leidde tot extra kapitaal voor banken met weinig bewijs van operationele veerkracht.
In afwachting van de RTS-niveau 2 worden de laatste gaten gedicht. De Europese Bankautoriteit registreerde alleen al in de eerste vier maanden van 2025 meer dan 1.200 meldingen van grote ICT-incidenten, wat dwingt tot modernisering van de validatiepijplijnen bij elke nationale mededingingsautoriteit en een strakkere feedbacklus over de kwaliteit van de classificatie. ECB Banking Supervision-gegevens voor het hele jaar 2025 schrijven 38% van de grote incidenten bij banken die onder direct toezicht staan toe aan tekortkomingen in het IT-veranderingsbeheer, niet aan aanvallen van buitenaf. Auditors schrijven nu bewijs van verandermanagement op in hun inspectiescopes voor 2026, naast de keten van incidenten.
Veelgestelde vragen
Wat is het verschil tussen een ICT-incident en een groot ICT-incident onder DORA?
Een ICT-incident is elke anomalie die van invloed is op netwerk- en informatiesystemen. Een ernstig ICT-incident is een incident dat voldoet aan de basisvoorwaarde van artikel 6 (impact op kritieke of belangrijke functies, verstoring van de dienstverlening of succesvolle ongeoorloofde toegang) en waarbij de drempel voor gegevensverlies van artikel 9, lid 5, onder b), of ten minste twee andere kwantitatieve drempels van Gedelegeerde Verordening (EU) nr. 2024/1772 van de Commissie worden overschreden.
Hoe vaak moeten financiële entiteiten dreigingsgestuurde penetratietests uitvoeren onder DORA?
Aangewezen entiteiten voeren ten minste elke drie jaar een TLPT uit. De aanwijzingscriteria staan in Gedelegeerde Verordening (EU) 2025/1190 van de Commissie en hebben betrekking op G-SIB’s, O-SII’s, belangrijke handelsplatformen, centrale effectenbewaarinstellingen, centrale tegenpartijen en systeemrelevante verzekeraars. Niet-aangewezen entiteiten voeren in plaats daarvan proportionele tests uit onder artikel 25, op jaarbasis voor kritieke of belangrijke functies.
Wie is de bevoegde autoriteit voor DORA in België?
De Nationale Bank van België houdt toezicht op kredietinstellingen, betalingsinstellingen, verzekeraars en centrale effectenbewaarinstellingen. De FSMA houdt toezicht op beleggingsondernemingen, markten, financiële tussenpersonen en gedragsregels. Beide melden zich aan via het NBB OneGate platform voor de melding van grote incidenten volgens de circulaire NBB_2026_04 van 2 april 2026.
Wat is de deadline voor de eerste melding van een incident onder DORA?
Binnen 4 uur na de formele classificatie van een incident als groot, met een maximale achtervang van 24 uur vanaf de eerste bewustwording. Het tussentijdse rapport volgt binnen 72 uur na de eerste melding. Het eindrapport volgt binnen een maand na het tussentijdse rapport. Gedelegeerde Verordening (EU) 2025/301 van de Commissie regelt de keten.
Vervangt DORA NIS2 voor financiële entiteiten?
Voor Belgische financiële entiteiten, ja. De Belgische omzetting van NIS2 sluit banken en financiële markten expliciet uit en behandelt DORA als lex specialis. Financiële entiteiten dienen zich in bij het NBB OneGate platform, niet bij het CCB. ICT-dienstverleners die zowel financiële als niet-financiële gereguleerde entiteiten bedienen, kunnen beide verplichtingen hebben.
Welk bewijs controleren de NBB-auditors voor de operationele veerkracht van DORA?
Zes categorieën. Tamperbestendige gecentraliseerde logboeken die de tijdlijn van het incident reconstrueren. Systeemkoppelingen van kritieke of belangrijke functies naar onderliggende bedrijfsmiddelen. Bewijs van testen met gedocumenteerde herstelmaatregelen. Notulen van de raad van bestuur waaruit goedkeuring van het ICT-risicoraamwerk blijkt. Verslagen van driemaandelijkse oefeningen. Apparaatstatus en toegangslogs die de effectiviteit van de controle aantonen voor beheerde en agentless endpoints.
Hoe ondersteunt een SASE-platform de vereisten voor DORA-incidentrapportering?
Een SASE-platform met een enkel controletraject comprimeert de bewijsketen. ZTNA logs leveren toegangsgebeurtenissen per identiteit. FWaaS logs leveren bewijs van segmentatie. SD-WAN telemetrie levert connectiviteitsweerstandsrapportage. NIAC dicht de kloof tussen agentloze apparaten die herhaaldelijk opduikt in de BaFin spot-check bevindingen. Unified logging verkort de classificatietijd en produceert de tijdstempelvolgorde waar NCA’s om vragen in de tussentijdse en eindrapporten.
Voor Belgische financiële entiteiten die nu onder DORA vallen, verschuift de vraag van “hebben we een beleid” naar “kunnen we het bewijs tonen”. Een SASE-platform met gecentraliseerde logging, transparante tijdlijnen voor incidenten, EU-residentie van gegevens en een enkel controlespoor verandert die vraag in een auditantwoord op zinniveau in plaats van een forensische reconstructie van veertien dagen. Boek een 30 minuten durende walkthrough om te zien hoe Jimber voldoet aan jouw DORA-behoeften.
