DORA (Regulation 2022/2554) is the EU's Digital Operational Resilience Act. It establishes a uniform framework for managing ICT risks in the financial sector. Unlike directives, DORA is directly applicable in all EU member states without national transposition.

When did DORA take effect?

DORA entered into force on January 16, 2023 and applies since January 17, 2025. All financial entities in scope must now comply with its requirements for ICT risk management, incident reporting, resilience testing, and third-party risk management.

Who must comply with DORA?

DORA applies to 21 types of financial entities including banks, insurance companies, investment firms, payment institutions, crypto-asset service providers, and fund managers. It also applies to critical ICT third-party service providers (cloud, SaaS, data analytics) serving the financial sector.

What are the penalties for DORA non-compliance?

Financial entities face administrative fines up to 2% of total annual worldwide turnover. For critical ICT third-party providers, fines can reach up to 5 million euros or 1% of average daily worldwide turnover. National competent authorities can also impose periodic penalty payments.

How does SiteGuardian help with DORA compliance?

SiteGuardian continuously monitors your ICT security posture (TLS/SSL, headers, DNS, email authentication), detects incidents in real time with 4-hour major incident reporting support, runs automated resilience tests from multiple regions, and provides 5-level supplier risk scoring for ICT third-party risk management under DORA Art. 28.

EU-verordening 2022/2554

DORA is van kracht.
Is uw ICT-weerbaarheid gereed?

De Digital Operational Resilience Act verplicht financiële entiteiten om ICT-risico's te beheren, incidenten binnen 4 uur te melden en operationele weerbaarheid te testen — of boetes tot 2% van de wereldwijde omzet te riskeren.

Van kracht sinds 17 januari 2025

Scan nu uw website Compliance-abonnementen bekijken

Is DORA op u van toepassing?

DORA is van toepassing op 21 soorten financiële entiteiten en hun kritieke externe ICT-dienstverleners. Als u actief bent in de EU-financiële sector, valt u zeer waarschijnlijk onder de regeling.

Banken

Financiële entiteit

Verzekeringen

Financiële entiteit

Beleggingsondernemingen

Financiële entiteit

Betaalinstellingen

Financiële entiteit

Crypto-activadienstverleners

Financiële entiteit

Fondsbeheerders

Financiële entiteit

Kredietbeoordelaars

Financiële entiteit

Externe ICT-dienstverleners

Kritieke dienstverlener

De kosten van non-compliance

Financiële entiteiten

van de totale wereldwijde jaaromzet

administratieve boetes bepaald door nationale bevoegde autoriteiten

Kritieke externe ICT-dienstverleners

€5 mln.

of 1% van de gemiddelde dagelijkse wereldwijde omzet

plus periodieke dwangsommen bij voortdurende niet-naleving

Nationale bevoegde autoriteiten kunnen ook activiteiten beperken of opschorten en het management persoonlijk aansprakelijk stellen.

De 5 pijlers van DORA — en wat SiteGuardian monitort

DORA stelt vijf pijlers vast voor digitale operationele weerbaarheid. SiteGuardian monitort er vier continu voor uw naar het web gerichte ICT-infrastructuur.

Art. 5–15

ICT-risicobeheer

Überwacht

SiteGuardian biedt continue bewaking van de beveiligingspostuur voor uw naar het web gerichte infrastructuur: TLS/SSL-validatie, levenscyclustracking van certificaten, kwetsbaarheidsdetectie, handhaving van beveiligingsheaders, DNSSEC-verificatie en een onveranderbaar auditspoor om risicobeheergovernance aan te tonen.

Art. 17–23

ICT-incidentbeheer

Überwacht

SiteGuardian detecteert incidenten in realtime, classificeert ze op ernst en ondersteunt DORA-conforme meldingsworkflows — inclusief de eerste melding binnen 4 uur voor grote ICT-gerelateerde incidenten, tussentijdse rapporten binnen 72 uur en eindrapporten binnen 1 maand. Vooraf ingevulde incidentrapporten voor uw nationale bevoegde autoriteit worden automatisch gegenereerd.

Art. 24–27

Testen van digitale operationele weerbaarheid

Überwacht

SiteGuardian voert geautomatiseerde beveiligingsscans uit die TLS-configuratie, HTTP-beveiligingsheaders, DNS-hardening, e-mailauthenticatie (DMARC/SPF/DKIM) en certificaatvalidatie vanuit meerdere geografische regio's bestrijken — en biedt zo continue basisweerbaarheidstesten zoals vereist door Art. 25.

Art. 28–30

ICT-risicobeheer van derden

Überwacht

SiteGuardian beoordeelt de beveiligingspostuur van leveranciers op 5 volwassenheidsniveaus, volgt concentratierisico voor kritieke ICT-dienstverleners, bewaakt TLS- en e-mailbeveiliging van derden en ondersteunt het genereren van het DORA-informatieregister (Art. 28(3)) voor alle contractuele regelingen met externe ICT-dienstverleners.

Art. 31–44

Toezicht op kritieke externe ICT-dienstverleners

Deze pijler is van toepassing op ICT-dienstverleners die door de Europese toezichthoudende autoriteiten (ESA's) als kritiek zijn aangewezen. De hoofdtoezichthouder voert inspecties uit, doet aanbevelingen en kan sancties opleggen. SiteGuardian dekt ESA-toezichtprocessen niet rechtstreeks.

DORA-compliance begint met inzicht

Scan uw website om uw ICT-beveiligingspostuur te beoordelen. SiteGuardian koppelt elke bevinding aan DORA-artikelen — zodat u precies weet waar u staat.

Gratis beveiligingsscan Compliance-abonnementen bekijken

Voor altijd gratis voor 1 monitor. Geen creditcard vereist.

Veelgestelde vragen

Wat is DORA?

DORA (Verordening 2022/2554) is de EU-verordening inzake digitale operationele weerbaarheid. Ze schept een alomvattend kader voor ICT-risicobeheer in de financiële sector, dat risicogovernance, incidentmelding, weerbaarheidstesten, risicobeheer van derden en informatie-uitwisseling omvat. Anders dan een richtlijn is DORA rechtstreeks van toepassing in alle EU-lidstaten.

Wanneer is DORA van toepassing geworden?

DORA is op 16 januari 2023 in werking getreden en is sinds 17 januari 2025 volledig van toepassing. Alle financiële entiteiten en kritieke externe ICT-dienstverleners die onder de regeling vallen, moeten nu aan de vereisten voldoen.

Is DORA van toepassing op ICT-dienstverleners?

Ja. DORA is niet alleen van toepassing op financiële entiteiten, maar ook op hun kritieke externe ICT-dienstverleners — waaronder cloudplatforms, SaaS-aanbieders, data-analysediensten en softwareleveranciers. De Europese toezichthoudende autoriteiten (ESA's) bepalen welke aanbieders als kritiek worden beschouwd en onder direct toezicht vallen.

Wat zijn de meldingstermijnen onder DORA?

Voor grote ICT-gerelateerde incidenten vereist DORA: een eerste melding binnen 4 uur na classificatie (en uiterlijk 24 uur na detectie), een tussentijds rapport binnen 72 uur en een eindrapport binnen 1 maand. SiteGuardian volgt deze termijnen automatisch en genereert vooraf ingevulde rapporten.

Hoe helpt SiteGuardian bij DORA-compliance?

SiteGuardian monitort continu uw naar het web gerichte ICT-infrastructuur op beveiligingsrisico's (TLS, headers, DNS, e-mailauthenticatie), detecteert incidenten in realtime, voert geautomatiseerde weerbaarheidstesten uit vanuit meerdere regio's en biedt leveranciersrisicoscoring op 5 niveaus. Bevindingen worden gekoppeld aan DORA-artikelen en compliancerapporten zijn audit-ready.

DORA is van kracht. Is uw ICT-weerbaarheid gereed?

Is DORA op u van toepassing?

De kosten van non-compliance

De 5 pijlers van DORA — en wat SiteGuardian monitort

ICT-risicobeheer

ICT-incidentbeheer

Testen van digitale operationele weerbaarheid

ICT-risicobeheer van derden

Toezicht op kritieke externe ICT-dienstverleners

DORA-compliance begint met inzicht

Veelgestelde vragen

Weet u het zeker?

DORA is van kracht.
Is uw ICT-weerbaarheid gereed?