DORA werd afdwingbaar op 17 januari 2025 zonder overgangsperiode. Voor Europese banken, verzekeraars en vermogensbeheerders schrijft de verordening netwerksegmentatie, toegang met minimale privileges, sterke authenticatie en voortdurende controle van alle ICT-systemen voor. Dit zijn geen ambitieuze doelen. Het zijn controleerbare eisen die worden ondersteund door boetes die kunnen oplopen tot 1% van de gemiddelde dagelijkse wereldwijde omzet.
De meeste financiële instellingen in het middensegment werken nog steeds met gefragmenteerde beveiligingsstacks: afzonderlijke VPN-concentrators, zelfstandige firewalls in elk filiaal, webfiltering van de ene leverancier, endpointbescherming van een andere. Die aanpak werkte toen medewerkers op kantoor zaten en applicaties in het datacenter. Het werkt niet wanneer adviseurs vanuit huis verbinding maken, compliance tools in de cloud draaien en toezichthouders een uniform controlespoor eisen dat elke toegangsbeslissing herleidt naar een geverifieerde identiteit.
Een Secure Access Service Edge (SASE)-platform consolideert deze controles in een enkele, door de cloud beheerde service. In deze handleiding wordt uitgelegd hoe elk SASE-onderdeel aansluit op specifieke DORA-verplichtingen, hoe het bedreigingslandschap er op dit moment uitziet voor Europese financiële dienstverleners en hoe instellingen in het middensegment SASE kunnen implementeren zonder de complexiteit van megavendorprojecten.
Waarom DORA de beveiligingsvergelijking voor financiële diensten verandert
Eerdere financiële regelgeving van de EU was indirect gericht op cyberbeveiliging. DORA is anders. Het is het eerste geharmoniseerde kader dat technische ICT-controles voorschrijft voor meer dan 22.000 financiële entiteiten en hun ICT-dienstverleners in de hele EU.
De verordening rust op vijf pijlers: ICT-risicobeheer, incidentrapportage, testen van digitale operationele veerkracht, ICT-risicobeheer van derden en informatiedeling. Elke pijler is gekoppeld aan mogelijkheden die een uniform SASE-platform van nature biedt.
Artikel 9 is het meest relevant voor netwerkbeveiliging. Het verplicht financiële entiteiten om netwerkinfrastructuur te ontwerpen die “onmiddellijk kan worden doorgesneden of gesegmenteerd” om besmetting tijdens een incident te voorkomen. Hetzelfde artikel schrijft voor dat de toegang tot ICT-middelen moet worden beperkt tot “wat alleen nodig is voor legitieme en goedgekeurde functies” en dat entiteiten “krachtige authenticatiemechanismen” met cryptografische controles moeten implementeren. Artikel 10 vereist detectiemechanismen met “meerdere controlelagen” en monitoring van “gebruikersactiviteiten, ICT-anomalieën en ICT-gerelateerde incidenten”.
De rapportageverplichtingen voor incidenten zijn agressief. Financiële entiteiten moeten een eerste melding indienen binnen vier uur na het classificeren van een groot ICT-incident, een tussentijds rapport binnen 72 uur en een eindrapport na het voltooien van de analyse van de hoofdoorzaak. Zonder gecentraliseerde logging die toegangsgebeurtenissen correleert tussen alle gebruikers, apparaten en applicaties, is het onpraktisch om aan deze tijdlijnen te voldoen.
ICT-risicobeheer voor derden (artikelen 28 tot 44) voegt nog een laag toe. Financiële entiteiten moeten een informatieregister bijhouden waarin alle ICT-contracten met derden worden gedocumenteerd. Artikel 30 vereist contractuele bepalingen met betrekking tot gegevenslocaties, SLA’s, beëindigingsvoorwaarden en onbeperkte auditrechten. Voor instellingen die gebruik maken van beveiligingsleveranciers die hun hoofdkantoor in de VS hebben, roept dit ongemakkelijke vragen op over de blootstelling aan jurisdictie onder de CLOUD Act.
| DORA-vereiste | Relevant artikel | SASE component |
|---|---|---|
| Laagst geprivilegieerde toegang met sterke authenticatie | Art. 9(4)(c), 9(4)(d) | ZTNA met MFA en apparaatstatus |
| Netwerksegmentatie en geautomatiseerde isolatie | Art. 9(4)(b) | FWaaS met microsegmentatie |
| Gegevensbescherming bij doorgifte en in rust | Art. 9(2), 9(3)(a) | SWG met TLS-inspectie en DLP |
| Meerlagige detectie en bewaking van gebruikersactiviteiten | Art. 10(1), 10(3) | Gecentraliseerde SASE logging en analyse |
| Bedrijfscontinuïteit met omschakelingsmogelijkheid | Art. 11(6)(a) | SD-WAN met link failover |
| Toegangscontrole en audit door derden | Art. 28, 30 | ZTNA met sessieregistratie en tijdgebonden toegang |
| 4-uurs incidentclassificatie en kennisgeving | Art. 19 | Unified logging met SIEM-integratie |
Het bedreigingslandschap vraagt om actie, niet om planning
De cijfers spreken voor zich. Het rapport Finance Sector Threat Landscape van ENISA, gepubliceerd in februari 2025, documenteerde 488 openbaar gerapporteerde incidenten die invloed hadden op Europese financiële diensten tussen januari 2023 en juni 2024. Banken kregen 46% van alle aanvallen te verwerken. DDoS was het meest voorkomende type bedreiging, met aanvallen die opliepen tot 1 Tbps tegen doelen waaronder Europese banken en financiële instellingen.
De risicovector van derden waar DORA zich specifiek op richt, is al de dominante aanvalsroute. Banco Santander onthulde in mei 2024 dat een door derden gehoste database klantgegevens uit drie landen blootstelde. ABN Amro werd in dezelfde maand getroffen door een ransomware-aanval via provider AddComm. De uitval van CrowdStrike in juli 2024 trof banken als UBS en Deutsche Bank, waardoor ICT-concentratierisico’s op grote schaal werden blootgelegd.
Belgische instellingen staan onder dezelfde druk. Crelan Bank verloor ongeveer 70 miljoen euro in een BEC-fraude die nog steeds een van de grootste in Europa is. Degroof Petercam kreeg in 2022 te maken met een datalek door een insider toen een voormalige werknemer klantgegevens exfiltreerde. Het Belgische Centrum voor Cyberbeveiliging registreerde 120 unieke gevallen van ransomware in 2024, een stijging van 24% ten opzichte van vorig jaar.
De financiële impact versterkt de urgentie. In het rapport Cost of Data Breach van IBM worden inbraken in de financiële dienstverlening geschat op een gemiddelde van $6,08 miljoen, 22% boven het wereldwijde gemiddelde. Ransomware treft volgens Sophos 65% van de financiële bedrijven in 2024, met gemiddelde herstelkosten van $ 1,53 miljoen exclusief losgeldbetalingen.
Dit zijn geen abstracte risicoscenario’s. Het is de operationele realiteit waarvoor DORA is ontworpen.
Hoe elk SASE onderdeel een financieel dienstverleningsprobleem oplost
ZTNA vervangt VPN voor gereguleerde toegang
Traditionele VPN’s verlenen brede toegang op netwerkniveau. Eenmaal verbonden kan een gebruiker of aanvaller zich zijdelings door handelssystemen, kerndatabases van banken en klantendossiers bewegen. ZTNA biedt toegang op applicatieniveau: elke sessie wordt individueel geverifieerd met MFA en apparaatverificatie, waarna alleen toegang wordt verleend tot de gevraagde specifieke applicatie.
Voor een vermogensbeheerbedrijf betekent dit dat adviseurs rechtstreeks verbinding maken met hun portefeuillebeheersysteem en CRM zonder ooit het bedrijfsnetwerk te hoeven gebruiken. Core banking systemen worden onzichtbaar voor poortscanners. Voor beheerderstoegang tot netwerkinfrastructuur zijn aparte rollen nodig met stapsgewijze authenticatie en sessies met een beperkte tijd. Een Belgische vermogensbeheerder verlaagde de latentie van externe toegang van 85 ms naar 12 ms na de migratie van VPN naar SASE.
Toegang voor derden is vooral belangrijk onder DORA. Externe controleurs en toezichthouders hebben toegang tot specifieke applicaties via browsergebaseerde portals. Geen VPN-client, geen agentinstallatie, geen bedrijfsapparaat vereist. Sessies worden geregistreerd en in de tijd begrensd. Als de opdracht eindigt, wordt de toegang automatisch ingetrokken.
SWG beschermt tegen exfiltratie van gegevens en phishing
Phishing-campagnes voor financiële diensten zijn zeer doelgericht. Aanvallers doen zich voor als interne workflows voor goedkeuring van bankoverschrijvingen, bankportalen en regelgevende instanties. Een Secure Web Gateway inspecteert al het webverkeer, blokkeert bekende schadelijke domeinen en gebruikt ML-gebaseerde analyse om zero-day pagina’s voor het verzamelen van referenties te identificeren.
Geïntegreerde DLP-mogelijkheden detecteren financiële gegevenspatronen tijdens het transport: rekeningnummers, PII, eigen handelsmodellen en correspondentie met klanten. Instance-aware controles maken onderscheid tussen de SharePoint-instantie van de onderneming en een persoonlijke Dropbox-account, waardoor de verplaatsing van gevoelige gegevens naar niet-goedgekeurde bestemmingen wordt geblokkeerd. Dit is een directe aanpak van schaduw-IT, een probleem waarbij bedrijven gemiddeld meer dan 2.000 applicaties gebruiken waarvan meer dan 60% niet is goedgekeurd door IT.
SD-WAN transformeert connectiviteit voor bijkantoren
Financiële instellingen met meerdere advieskantoren, bankfilialen of regionale hoofdkantoren zijn doorgaans afhankelijk van dure MPLS-circuits. SD-WAN biedt transportdiversiteit door MPLS te vergroten of te vervangen door breedband- en 4G/5G-verbindingen, waarbij financiële instellingen een kostenbesparing van 30 tot 50% op connectiviteit rapporteren.
Applicatiebewuste routering zorgt voor servicekwaliteit voor handelstoepassingen met strikte latentie-eisen, videoconferenties voor klantvergaderingen en VoIP voor callcenteractiviteiten. Voor de meeste financiële bedrijven in het middensegment is de aanbevolen aanpak MPLS te behouden voor missiekritische stromen zoals SWIFT-berichten, terwijl SD-WAN het dagelijkse verkeer afhandelt.
Apparaathouding creëert gelaagde toegang
DORA vereist dat de toegang wordt beperkt tot legitieme en goedgekeurde functies. Handhaving van de apparaatstatus vertaalt dit naar de praktijk met een gelaagd model. Volledig beheerde apparaten die aan de eisen voldoen, krijgen volledige toegang tot geautoriseerde applicaties. Beheerde maar niet-conforme apparaten krijgen beperkte toegang met herstelprompts. Onbeheerde BYOD-apparaten, die vaak worden gebruikt wanneer auditors of regelgevende instanties op bezoek komen, maken verbinding via browsergebaseerde portals zonder gegevens te downloaden en met volledige registratie van sessies. Niet-conforme apparaten worden volledig geweigerd.
De kwestie van gegevenssoevereiniteit waar financiële dienstverleners niet omheen kunnen
Artikel 30 van de DORA vereist contractuele transparantie over gegevenslocaties en verwerkingsjurisdicties. Voor instellingen die gebruik maken van in de VS gevestigde leveranciers van SASE creëert dit een structureel spanningsveld. De Amerikaanse CLOUD Act dwingt Amerikaanse bedrijven om gegevens te verstrekken die waar dan ook ter wereld zijn opgeslagen, wanneer ze een geldig verzoek ontvangen van een Amerikaanse wetshandhavingsinstantie.
Het onderscheid tussen “EU-hosted” en “EU controlled” wordt een aanbestedingseis in de Europese financiële dienstverlening. Gegevens die worden verwerkt op EU-servers van een Amerikaans moederbedrijf vallen nog steeds onder de Amerikaanse jurisdictie. Een SASE-leverancier met een Europees hoofdkantoor elimineert deze blootstelling volledig. Dit is geen politiek statement. Het is eenvoudig risicobeheer onder de DORA-bepalingen voor derden.
De Europese regelgevende trend versterkt deze richting. De verklaring van de EU van november 2025 voor Europese digitale soevereiniteit, het voortdurende toezicht op Amerikaanse cloudaanbieders onder de Digital Markets Act en de operationele realiteit van DORA-audits door derden wijzen allemaal in dezelfde richting.
Gefaseerde SASE-implementatie voor financiële dienstverlening in het middensegment van de markt
De implementatie van SASE vereist niet dat alles in één keer wordt vervangen. Een gefaseerde aanpak levert in elke fase complianceverbeteringen op, terwijl de klantgerichte activiteiten gewoon doorgang kunnen blijven vinden. Voor instellingen in het middensegment met 50 tot 400 gebruikers beslaat de tijdlijn meestal zes tot twaalf maanden.
Fase 1: Beoordeling en identiteitsintegratie (4 tot 6 weken)
Bestaande netwerkarchitectuur, beveiligingstools en gebruikerstoegangspatronen in kaart brengen. Inventariseer alle financiële applicaties: core banking, trading, SWIFT, CRM, compliance en rapportagesystemen. Integreer uw identity provider en synchroniseer gebruikersgroepen afgestemd op bedrijfsrollen. Baselines voor apparaatstatus definiëren voor beheerde apparaten.
Fase 2: Pilot met toegang op afstand (4 tot 8 weken)
Publiceer twee tot drie applicaties met hoog gebruik via ZTNA voor externe adviseurs en medewerkers. Draai VPN en ZTNA parallel tijdens de pilot. Schakel een basis Secure Web Gateway beleid in dat bekende kwaadaardige domeinen blokkeert. Meet latentie, succespercentages voor authenticatie en het volume van supporttickets.
Fase 3: Uitbreiden naar vestigingen en webbeveiliging (8 tot 16 weken)
SD-WAN implementeren in bijkantoren, te beginnen met niet-kritieke locaties. Breid ZTNA uit naar alle bedrijfstoepassingen. Activeer volledige SWG met TLS-inspectie waar toegestaan en van toepassing, plus DLP-beleid voor gevoelige financiële gegevens. Implementeer inline isolatie voor agentless apparaten: printers, scanners en apparatuur voor vergaderruimtes in gedeelde kantoorruimtes.
Fase 4: Legacy ontmanteling en nalevingsrapportage (4 tot 8 weken)
VPN-concentrators buiten gebruik stellen nadat de ZTNA-dekking is voltooid. Uitfaseren van MPLS-circuits als SD-WAN stabiel blijkt te zijn, indien nodig met behoud van speciale circuits voor SWIFT. Firewall appliances op locatie buiten gebruik stellen. SIEM-integratie en geautomatiseerde compliancerapporten configureren in lijn met de tijdlijnen voor incidentrapportage van DORA.
Een Belgisch vermogensbeheerbedrijf voltooide deze migratie in acht weken en realiseerde een verlaging van de totale beveiligingskosten met 58%, terwijl de naleving van DORA en NIS2 werd vereenvoudigd.
DORA-conformiteitsbewijs dat SASE automatisch genereert
Auditors verwachten bewijs, geen beloftes. Een uniform SASE-platform genereert de documentatie die DORA vereist zonder handmatige logcorrelatie in meerdere systemen.
ICT-risicobeheer (artikelen 5 tot en met 16). Het platform biedt een gedocumenteerd kader voor identificatie, bescherming, detectie, respons en herstel. Beleidsregels voor toegangscontrole, regels voor apparaathouding en webbeveiligingsconfiguraties worden versiebeheerst met tijdstempels en goedkeuringsidentiteiten.
Rapportage van incidenten (artikelen 17 tot en met 23). Gecentraliseerde logging met realtime waarschuwingen maakt snelle incidentclassificatie praktisch. Als er iets gebeurt, trekt het team een tijdlijn van één gebeurtenis die laat zien welke gebruiker, vanaf welk apparaat, welke applicatie heeft geopend, op welk tijdstip en vanaf welke locatie. Dit ondersteunt de vereiste voor een eerste melding van vier uur.
Testen van het weerstandsvermogen (artikelen 24 tot en met 27). Cloud-beveiliging met continue updates vermindert het aanvalsoppervlak dat getest moet worden. Gecentraliseerde zichtbaarheid vereenvoudigt het scoping- en rapportageproces voor jaarlijkse kwetsbaarheidsbeoordelingen en, voor systeemrelevante instellingen, dreigingsgestuurde penetratietests onder TIBER-EU.
Risicobeheer voor derden (artikelen 28 tot en met 44). Het Register of Information, dat voor het eerst op 30 april 2025 moet worden ingediend, vereist dat alle ICT-contracten met derden worden gedocumenteerd. Een single-vendor SASE platform vereenvoudigt dit door meerdere point-product contracten te consolideren in één. Sessieregistratie en audittrails voor toegang door derden ondersteunen de toezichtsvereisten van DORA.
Delen van informatie (artikel 45). SIEM-integratie maakt deelname aan het delen van sectorspecifieke informatie over bedreigingen mogelijk zonder dat onbewerkte klantgegevens worden vrijgegeven.
De Belgische context van financiële diensten
Het Belgische “Twin Peaks”-model verdeelt het financiële toezicht tussen de NBB en de FSMA. Vijf belangrijke instellingen staan rechtstreeks onder toezicht van de ECB, terwijl 17 minder belangrijke instellingen onder toezicht van de NBB staan. Naast de grote banken bestaat er een aanzienlijk middensegment: privébanken zoals Delen, J. Van Breda en Degroof Petercam; coöperatieve banken zoals Crelan; en een reeks verzekeraars en financiële tussenpersonen.
België was de eerste EU-lidstaat die NIS2 heeft omgezet in nationale wetgeving. De DORA-uitvoeringswet werd goedgekeurd op 30 januari 2025, met boetes tot 10% van de omzet van het bedrijf of 5 miljoen euro. De NBB heeft in februari 2025 circulaires uitgevaardigd voor het melden van incidenten en het indienen van een Register van Informatie.
Uit FSMA-onderzoeken is gebleken dat er vooruitgang is geboekt op het gebied van ICT-risicobeoordeling, maar dat er nog steeds hiaten zijn op het gebied van incidentrespons, testen en risicobeheer door derden. Dit zijn precies de mogelijkheden die een uniform SASE-platform biedt. Voor Belgische financiële instellingen die zich voorbereiden op hun eerste DORA conformiteitsbeoordeling, biedt de NIS2 compliance checklist een praktisch startkader, aangezien veel NIS2 controles overlappen met DORA vereisten.
De financiële activa van Belgische huishoudens bedragen meer dan €1,5 biljoen, wat vermogensbeheer tot een substantieel segment maakt. Private banks en onafhankelijke vermogensbeheerders die €100 miljoen tot €1 miljard aan vermogen van klanten beheren, vormen het klassieke profiel van de middenmarkt: gereguleerd, beheren gevoelige gegevens, hebben hybride werknemers in dienst in meerdere advieskantoren en zijn steeds vaker het doelwit van geavanceerde bedreigingsactoren.
Hoe Jimber SASE werkbaar maakt voor financiële diensten
Jimber levert Real SASE in één cloud managed platform dat is ontworpen voor Europese organisaties in het middensegment en de servicepartners die hen ondersteunen.
Zero Trust Network Access biedt granulaire toegang per applicatie met verificatie van identiteit en apparaatstatus. Adviseurs bereiken hun portefeuillesysteem. Compliance officers bereiken hun rapportagetools. Niemand bereikt het netwerk.
Secure Web Gateway en Firewall-as-a-Service dwingen consistente webcontroles af met dreigingsblokkering, TLS-inspectie en DLP. Beleidsregels volgen gebruikers, of ze nu verbinding maken vanuit het hoofdkantoor, een filiaal of thuis.
SD-WAN levert veerkrachtige, krachtige connectiviteit tussen advieskantoren en bijkantoren zonder de kosten van dedicated MPLS op elke locatie.
NIAC-hardware biedt inline isolatie voor agentless apparaten. Printers, scanners en vergaderruimtesystemen in kantoren voor gedeelde financiële diensten zijn vaak blinde vlekken. Zonder isolatie bevinden ze zich op hetzelfde netwerk als werkstations die klantgegevens verwerken. Jimber dicht dit gat zonder agents te vereisen op apparaten die deze niet kunnen uitvoeren.
Het platform heeft zijn hoofdkantoor in België met gegevensverwerking binnen de EU-grenzen. Geen Amerikaans moederbedrijf. Geen blootstelling aan CLOUD Act-jurisdictie. Voor financiële instellingen waar de DORA-bepalingen voor derden gegevenssoevereiniteit tot een aanbestedingseis maken, is dit van belang.
Transparante prijzen per gebruiker maken driejarige TCO-projecties eenvoudig. Geen bandbreedtetoeslagen, geen verborgen extra’s. Servicepartners kunnen beheerde beveiligingspakketten samenstellen met duidelijke marges en voorspelbare rendementen.
Wil je zien hoe Jimber voldoet aan de DORA-vereisten? Boek een demo en doorloop een implementatieplan voor jouw financiële dienstverleningsomgeving.
FAQ
Is SASE geschikt voor banken en vermogensbeheerders in het middensegment?
Ja. Financiële instellingen in het middensegment van de markt zijn vaak beter gepositioneerd voor SASE dan grote banken, omdat ze minder legacy-complexiteit hoeven te ontwarren. Een uniform platform vervangt de gefragmenteerde stacks waarmee kleine IT-teams worstelen. De implementatie duurt meestal zes tot twaalf maanden met een gefaseerde aanpak.
Hoe ondersteunt SASE specifiek de naleving van DORA?
SASE richt zich op alle vijf de pijlers van DORA. ZTNA en handhaving van de apparaatstatus voldoen aan de toegangscontrolevereisten van Artikel 9. FWaaS levert de netwerksegmentatie die artikel 9 vereist. Gecentraliseerde logging ondersteunt de tijdlijn van vier uur voor het melden van incidenten. En een Europees platform voor één leverancier vereenvoudigt het register van informatie en de verplichtingen voor risicobeheer door derden volgens artikel 28 tot en met 44.
Vervangt SASE onze bestaande firewalls?
Niet noodzakelijkerwijs op dag één. De meeste financiële instellingen gebruiken SASE naast bestaande firewalls tijdens de overgang. Cloud-gedreven FWaaS neemt geleidelijk de beleidshandhaving over naarmate ZTNA de noodzaak voor toegang op netwerkniveau wegneemt. Firewalls op filialen worden meestal als eerste buiten gebruik gesteld omdat SD-WAN veilige connectiviteit biedt.
Hoe zit het met SWIFT en de integratie van handelssystemen?
De aanbevolen aanpak behoudt speciale circuits voor SWIFT-berichtenverkeer, terwijl SASE de toegangscontrole voor gebruikers en de handhaving van het beleid afhandelt. ZTNA biedt toegang met minimale privileges tot SWIFT-interfaces (Alliance Access, Alliance Lite2) met stapsgewijze authenticatie en sessieregistratie, en ondersteunt SWIFT CSP 2025 controles.
Hoe beïnvloedt Europese gegevenssoevereiniteit de selectie van SASE-verkopers onder DORA?
Artikel 30 van de DORA vereist contractuele transparantie over locaties waar gegevens worden verwerkt en schrijft exitstrategieën voor. SASE-leveranciers met hoofdkantoor in de VS zijn onderworpen aan de CLOUD Act, die de productie van gegevens kan afdwingen ongeacht waar de gegevens zijn opgeslagen. Een leverancier met een Europees hoofdkantoor elimineert dit juridische conflict en vereenvoudigt de risicobeoordeling door derden en de documentatie van het Register of Information.
Kan onze MSP SASE voor ons beheren?
Ja. Met een multi-tenant SASE-platform kunnen servicepartners de beveiliging voor meerdere klanten in de financiële dienstverlening beheren vanaf één console. Dit model is gebruikelijk in het middensegment van de markt, waar ongeveer 63% van de organisaties een MSP gebruikt voor de implementatie van SASE. Het transparante prijsmodel en de API-first architectuur ondersteunen schaalbare managed services.
