Computable.nl
  • Thema’s
    • Carrière
    • IT Strategy & Governance
    • Cloud & Infrastructure
    • Data & AI
    • Security & Risk
    • Software & Development
    • Digitale werkplek
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Awards
    • Computable Awards
    • Nieuws
    • Winnaars
    • Partner worden
    • Inzendingen
    • De jury en experts
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Magazine
    • Magazine
    • Adverteren in het magazine
  • Nieuwsbrief

Home » Security & Risk

Dora officieel van kracht, bestuurder hoofdelijk aansprakelijk bij ict-risico’s

17 januari 2025 - 12:473 minuten leestijdActueelSecurity & Risk
Pim van der Beek
Pim van der Beek

Vandaag treedt de Digital Operational Resilience Act (Dora) officieel in werking binnen de Europese Unie. De verordening is ontworpen om de digitale weerbaarheid van financiële instellingen te versterken en hen beter te beschermen tegen cyberdreigingen en ict-risico’s. Bestuurders die de regels niet nakomen, zijn persoonlijk aansprakelijk. Boetes kunnen oplopen tot een miljoen euro.

Dora stelt strengere eisen aan financiële ondernemingen op het gebied van ict-beveiliging. Een verplichting zijn periodieke systeemtests op kwetsbaarheden, bijvoorbeeld door de inzet van ethische hackers. Ook is er een meldplicht bij incidenten zoals datalekken of cyberaanvallen. Ook moeten financiële instellingen hun ict-landschap en leveranciers in kaart brengen en de weerbaarheid van die partijen evalueren. Daarnaast zijn financiële instellingen verplicht om informatie over incidenten onderling te delen.

In Nederland zien de Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank toe op de naleving van Dora. Deze toezichthouders hebben de bevoegdheid om sancties op te leggen aan financiële instellingen die niet aan de verordening voldoen. Daarnaast vallen grote, essentiële ict-toeleveranciers, zoals clouddienstverleners, direct onder toezicht van Europese toezichthoudende autoriteiten.

Halverwege 2024 waarschuwde de AFM dat veel financiële instellingen nog achterliepen op de naderende ingangsdatum van Dora. Voor ict-risicobeheer voldeden veel ondernemingen niet volledig aan het verwachte niveau. Dit gold voor 81 procent van de financiële dienstverleners, 58 procent van de kapitaalmarktpartijen en 42 procent van de beleggingsondernemingen. Ook waren bij verschillende ondernemingen verbeteringen nodig van de governance rondom ict-risicobeheer, de ict-asset-inventaris en het risicobeheer van derde aanbieders. De meeste organisaties scoorden wel een voldoende voor de inrichting van backup- en herstelmogelijkheden. Het is niet duidelijk hoe die aantallen nu zijn. Er is een checklist van  de AFM waar partijen kunnen controleren of ze hun zaken op orde hebben.

Reacties Veeam en Dynatrace

Volgens Andre Troskie, EMEA-field ciso bij backupspecialist Veeam, heeft de financiële sector veel ervaring met strenge regelgeving en is er vaak intern al een goede basis gelegd voor dataweerbaarheid en cyberbeveiliging. Hij wijst wel op uitdagingen die ontstaan bij externe dienstverleners en de bredere toeleveringsketen. ‘Als organisaties de naleving door hun partners niet kunnen waarborgen, kan dit leiden tot nalevingsproblemen, boetes of andere gevolgen. Het is cruciaal dat externe partijen ook robuuste risicomanagementprocessen hanteren.’

Bob Wambach, topman bij ict-beveiliger Dynatrace, waarschuwt voor een tweedeling tussen veerkrachtige en risicovolle aanbieders, ook buiten de EU. Dora vraagt volgens hem om meer dan het afvinken van een checklist. ‘Het vereist een cultuur van veerkracht, continue testen en ai-gestuurde detectie van risico’s.’ Volgens hem is realtime-respons cruciaal om escalatie van incidenten te voorkomen.

Aangepast 18-1-2025:

Aanvankelijk stond boven dit artikel de kopregel: Dora officieel van kracht, ict-manager hoofdelijk aansprakelijk. Lezer Marco van der Does meldt dat dit feitelijk onjuist is. Dora geeft geen verandering voor de aansprakelijkheid van een ict-manager. Alleen feitelijk bestuur en dan meestal het hoofdbestuur, RvC, RvB enzovoort kunnen aansprakelijk gesteld worden.

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Netwerk als cruciale securitylaag

    Waarom connectiviteit een sleutelrol krijgt in moderne security

    Computable.nl

    De Nieuwe Realiteit van OT Security

    Waarom kritieke systemen om een andere securityaanpak vragen

    Computable.nl

    Videobeveiliging naar de cloud

    Ontwikkelingen in videobeveiliging en cloud-gebaseerde securityplatformen

    Eén reactie op “Dora officieel van kracht, bestuurder hoofdelijk aansprakelijk bij ict-risico’s”

    1. Een oudlid schreef:
      19 januari 2025 om 15:14

      Het is de vraag of de wetgeving het papier waard is want kosten van compliance drukken nu eenmaal op de winsten. En deze bepalen uiteindelijk de bonussen van bestuurders waardoor we de afgelopen 20 jaar een reeks schandalen hadden die de schatkist – en daarmee belastingbetalers – miljarden aan rente en rendementen hebben gekost. Want ‘untouchables’ ontlopen hun straf via schikkingen in een sector die gereguleerd is maar niet echt gecontroleerd. Het aansprakelijk stellen zonder overtuigend bewijs levert namelijk geen veroordeling op als we kijken naar het risicobeheer binnen een financiële sector waar de schikkingen afgetrokken worden van de winstbelasting. En hierdoor hoeft er ook niet gekort te worden op de bonussen door het ontbreken van clawback clausules.

      Juridische mazen in de wet maken de titel dus nog altijd geen feit zoals dat een AVG compliance ook geen garanties biedt op een onbespied leven in een maatschappij die steeds meer om de smoking gun van e-discovery in het zoeken naar het belastende bewijs gaat. Want foto’s van aantekeningen over functie elders gaan om de klokkenluiderssystemen doordat het ‘ons kent ons’ om een belangenverstrengeling in de waarheid gaat. En van Polaroid naar ransomware is het betaalmiddel alleen maar een pressiemiddel voor het nakomen van aangegane verplichtingen want aandeelhouders kiezen liever voor de winst dan de integriteit waardoor we weer een loze wet hebben als belofte.

      Geplaatst 19 januari 2025 om 15:13

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Awards-nominaties

    Pijl naar rechts icoon

    Check Point

    Nadia van Beelen (Sales Associate, Check Point Technologies)
    Pijl naar rechts icoon

    ForceFusion

    Amber Quist (Cyber security specialist, ForceFusion)
    Pijl naar rechts icoon

    Hyperfox

    Vereenvoudiging bestelproces bij Duplast, specialist in voedselverpakkingen (Duplast en Hyperfox)
    Pijl naar rechts icoon

    Prodek Solutions BV

    Compleet pakket voor digitale aansturing duurzame energie bij Odura (Odura en Prodek Solutions)
    Pijl naar rechts icoon

    Norday

    Hyper-gepersonaliseerde cultuurpodcasts die nieuwe bezoekers vaker laten terugkomen via Wondercast (Norday en het Rotterdams Philharmonisch Orkest)
    Alle inzendingen
    Pijl naar rechts icoon

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    Cloud & Infrastructure

    Yielder bouwt aan de volgende fase: pe...

    Yielder ondersteunt organisaties over de volle breedte van hun digitale omgeving. Van werkplek en connectiviteit tot cloud en security. De organisatie heeft een vijftiental regionale specialisten samen in één groep...

    Meer persberichten

    Meer lezen

    Security & Risk

    DataExpert neemt Deense ADO Security over voor uitbreiding cy­ber­se­cu­ri­ty­dien­sten

    Data & AI

    Kort: Nieuw spoorsein op ‘rood’ kost ProRail miljoenen, cy­ber­sec­teams versnellen ai-inzet (en meer)

    Enterprise Software

    Technische schuld is goud waard voor cybercriminelen

    Networking

    Kort: CSR bezorgd over vitale infrastructuur, QuTech brengt quantumprocessor Tuna-177 uit (en meer)

    AI Agents

    Nutanix lanceert Agent Gateway voor beheer van agentic ai

    Encryption

    Je cryptowallet is misschien minder anoniem dan je denkt

    ...

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Computable Awards
    • Magazine
    • Ontvang Computable e-Magazine
    • Cybersec e-Magazine
    • Topics
    • Phishing
    • Ransomware
    • NEN 7510

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten
    • Blogwire

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2026 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs