DORA-audit voor aantoonbare digitale weerbaarheid

De Digital Operational Resilience Act (DORA) stelt financiële instellingen strengere eisen aan digitale weerbaarheid, ICT-risicomanagement en de beheersing van kritieke ICT-diensten. Organisaties moeten aantoonbaar voldoen aan de DORA-wetgeving en inzicht geven in de effectiviteit van hun beheersmaatregelen.

AudITvision voert DORA-audits uit voor organisaties die willen vaststellen in hoeverre zij voldoen aan de eisen van DORA. Daarbij beoordelen onze auditoren onder andere het ICT-risicomanagement, incidentmanagement, de digitale weerbaarheid, ICT-uitbesteding, leveranciersmanagement en de inrichting van governance en interne beheersing.

Afhankelijk van de doelstelling kan een DORA-assessment worden uitgevoerd als nulmeting of een onafhankelijke assurance-opdracht op basis van ISAE 3000A. De uitkomst is een objectief auditrapport dat inzicht geeft in de huidige situatie, eventuele aandachtspunten en de mate waarin jouw organisatie voldoet aan de relevante DORA-eisen. Met een onafhankelijke DORA-audit laat je aan toezichthouders, klanten, aandeelhouders en andere stakeholders zien dat de digitale weerbaarheid van jouw organisatie aantoonbaar is beoordeeld. Dat draagt bij aan vertrouwen, compliance en een beheerste bedrijfsvoering.

AudITvision beschikt over ruime ervaring met IT-audits, assurance-opdrachten en wet- en regelgeving op het gebied van informatiebeveiliging, risicobeheersing en compliance. Onze auditoren voeren de audit onafhankelijk, transparant en pragmatisch uit, zodat je beschikt over een helder rapport met direct toepasbare inzichten.

Ontvang onze gratis whitepaper

Vraag onze gratis whitepaper aan en ontdek hoe je eenvoudig kunt starten met een compliance-traject en waar je rekening mee moet houden.

Belang van DORA voor financiële organisaties

De Digital Operational Resilience Act (DORA) is Europese wetgeving die de digitale weerbaarheid van financiële organisaties moet versterken. De DORA-verordening is in 2023 in werking getreden en is sinds januari 2025 van toepassing op een breed scala aan financiële instellingen binnen de Europese Unie. Denk aan banken, verzekeraars, betaalinstellingen, vermogensbeheerders, beleggingsondernemingen, cryptoaanbieders en kritieke ICT-dienstverleners.

Om te voldoen aan de DORA-eisen moeten organisaties onder andere:

  • ICT-risico’s structureel identificeren, beoordelen, monitoren en beheersen;
  • Ernstige ICT-incidenten tijdig melden aan de bevoegde toezichthouder;
  • De digitale weerbaarheid periodiek toetsen, bijvoorbeeld met penetratietesten en andere weerbaarheidstesten;
  • ICT-uitbestedingen en leveranciersrisico’s aantoonbaar beheersen;
  • Beschikken over een effectief governance- en ICT-risicomanagementproces.

Het doel van de Digital Operational Resilience Act is om de continuïteit van de financiële sector te waarborgen en te voorkomen dat ICT-verstoringen leiden tot schade voor klanten, organisaties of de financiële markten.

Voor veel organisaties betekent DORA compliance dat beleid, processen en beheersmaatregelen opnieuw moeten worden beoordeeld. Met een onafhankelijke DORA-audit op basis van ISAE 3000A krijg je inzicht in de mate waarin jouw organisatie voldoet aan de relevante DORA-eisen. De audit resulteert in een objectief assurance-rapport dat vertrouwen biedt aan toezichthouders, klanten en andere stakeholders.

Wat houdt DORA in?

DORA kent vijf kernonderdelen die gezamenlijk de digitale operationele weerbaarheid moeten versterken:

1. ICT Risk Management

Organisaties moeten beschikken over een integraal ICT-riskmanagementframework dat beleidsmatig, organisatorisch en technisch is verankerd. Dit omvat o.a. risicobeoordelingen, beveiligingsmaatregelen,
governance en verandermanagement.

2. Incidentdetectie, -rapportage en -respons

Zwaarwegende ICT-incidenten moeten binnen vier uur gemeld worden aan de nationale toezichthouder. Dit vereist een helder proces, heldere definities,
classificatieregels en ondersteunende tooling.

3. Digital Operational Resilience Testing

DORA vereist periodieke tests om de effectiviteit van beveiligingsmaatregelen vast te stellen. Voor grotere instellingen gaat dit verder dan penetratietesten –
ook scenario-gebaseerde dreigingensimulaties zijn verplicht.

4. Third Party Risk Management

ICT-uitbestedingen moeten beheerst worden via due diligence, risicoclassificatie, contractvoorwaarden en monitoring. Bovendien moet er een strategie zijn voor exitmanagement en concentratierisico’s.

5. Informatie-uitwisseling

Onder voorwaarden kunnen instellingen deelnemen aan informatie-uitwisseling over cyberdreigingen. Dit moet gestructureerd en verantwoord gebeuren.

Onze aanpak voor een DORA-audit

Een DORA-audit vraagt om een gestructureerde en onafhankelijke aanpak. AudITvision voert DORA-assurance-opdrachten uit op basis van ISAE 3000A. Afhankelijk van de doelstelling van jouw organisatie bestaat het traject uit de volgende stappen.

1. Intake en scope

We starten met een intake waarin de scope van de DORA-audit wordt vastgesteld. Daarbij bepalen we welke organisatieonderdelen, ICT-processen, kritieke ICT-dienstverleners en beheersmaatregelen onderdeel zijn van de assurance-opdracht. Ook brengen we het toepasselijke toetsingskader en de relevante DORA-eisen in kaart.

2. Nulmeting en toetsingskader

Een DORA-assessment geeft inzicht in de huidige inrichting van het ICT-risicomanagement en de digitale weerbaarheid van jouw organisatie. We beoordelen de beschikbare documentatie en stellen vast in hoeverre deze aansluit op de relevante DORA-eisen en het vastgestelde toetsingskader. Indien van toepassing worden hierbij ook erkende normenkaders, zoals NIST of ISO 27001, betrokken.

3. Uitvoering van de audit

Tijdens de audit verzamelen onze auditoren objectief bewijsmateriaal door middel van documentbeoordelingen, interviews, observaties en steekproeven. We toetsen of de beheersmaatregelen rondom ICT-risicomanagement, incidentmanagement, ICT-uitbesteding, leveranciersmanagement en digitale weerbaarheid aantoonbaar zijn ingericht en effectief functioneren.

4. Beoordeling van de werking

Wanneer de opdracht betrekking heeft op de werking van beheersmaatregelen, beoordelen we gedurende de afgesproken onderzoeksperiode of deze maatregelen in de praktijk aantoonbaar effectief zijn. Daarbij kijken we onder andere naar monitoring, opvolging van bevindingen, periodieke evaluaties en de continue beheersing van ICT-risico’s.

5. Assurance-rapportage

Na afronding van de audit stellen we een onafhankelijk ISAE 3000A-assurancerapport op. Hierin beschrijven we de scope van de audit, het toegepaste toetsingskader, de uitgevoerde werkzaamheden, onze bevindingen en de assuranceconclusie. Het rapport biedt inzicht in de mate waarin jouw organisatie voldoet aan de relevante DORA-eisen en ondersteunt de verantwoording richting toezichthouders, klanten, ketenpartners en andere stakeholders.

Voorbeeldsituatie: voorbereiding op een DORA-audit

Een Nederlandse betaaldienstverlener met een Europese PSD2-vergunning wilde inzicht krijgen in de mate waarin de organisatie voldeed aan de eisen van de Digital Operational Resilience Act (DORA). De organisatie beschikte al over een ISAE 3402-rapport voor uitbestedingsbeheer, maar wilde de inrichting van het ICT-risicomanagement en de digitale weerbaarheid onafhankelijk laten beoordelen.

Uitdaging

Veel beheersmaatregelen waren in de praktijk aanwezig, maar niet overal aantoonbaar vastgelegd. Ook ontbrak een volledig overzicht van kritieke ICT-leveranciers en was het incidentmanagement nog niet volledig ingericht volgens de DORA-eisen.

Onze aanpak

AudITvision voerde een DORA-assessment uit waarbij de scope, het toetsingskader en de relevante beheersmaatregelen werden beoordeeld. Vervolgens werd door middel van documentbeoordelingen, interviews en steekproeven vastgesteld in hoeverre de organisatie voldeed aan de relevante DORA-eisen. Daarbij werd waar mogelijk aangesloten op bestaande governance-processen en beschikbare assurance-rapportages.

Resultaat

De organisatie kreeg een helder beeld van de huidige inrichting van het ICT-risicomanagement, de digitale weerbaarheid en de naleving van de DORA-eisen. Het auditrapport bood inzicht in sterke punten, aandachtspunten en mogelijke vervolgstappen richting een onafhankelijke ISAE 3000A-assurance-opdracht.