Wat het kader vereist
ICT-risicobeheer
Financiële entiteiten onderhouden een gedegen, omvattend ICT-risicobeheersraamwerk met beleid, procedures, ICT-systemen en -tools, en governance op bestuursniveau. Het raamwerk wordt gedocumenteerd, regelmatig herzien en expliciet gekoppeld aan de bedrijfsstrategie.
Incidentbeheer en rapportage
Grote ICT-gerelateerde incidenten worden binnen strikte termijnen geclassificeerd en aan de bevoegde autoriteit gerapporteerd. Significante cyberdreigingen kunnen ook vrijwillig worden gemeld. Rapportage is onder DORA geharmoniseerd in de financiële sector — één regime, geen meerdere.
Operationele veerkracht-testen
Entiteiten implementeren een testprogramma dat evenredig is aan omvang en risicoprofiel. Grotere entiteiten draaien threat-led penetration testing (TLPT) onder toezicht van de toezichthouder ten minste elke drie jaar.
Third-party ICT-leveranciersbeheer
DORA legt specifieke verplichtingen op de relaties van entiteiten met ICT-leveranciers — pre-contractuele due diligence, contractuele bepalingen, monitoring en exit-strategieën. Kritieke derde partijen vallen onder direct ESA-toezicht.
Hoe onze diensten aansluiten op compliance
- Cyber penetration testing afgestemd op DORA-TLPT. Via onze specialistische partner leveren wij pentest-opdrachten die aansluiten op het threat-led testing-programma van DORA — met documentatie geschikt voor toezichthouder-review.
- Incident-response-planning en oefening. Programma-niveau-ondersteuning voor incident-response-ontwerp, tafeloefeningen en integratie met de rapportageworkflow van de entiteit.
- Third-party governance-ondersteuning. Pre-contractuele due diligence op ICT-leveranciers, contractreview en doorlopende leveranciersmonitoring — ondersteunend aan de third-party-governance-pijler van DORA.