De Digital Operational Resilience Act (DORA) is sinds januari 2025 van toepassing op banken, verzekeraars, beleggingsondernemingen en hun kritieke ICT-leveranciers. Phishing-simulaties zijn onderdeel van het verplichte testregime, naast bredere bedreigingsgerichte penetratietests.
DORA-testverplichtingen
Hoofdstuk IV van DORA verplicht periodieke testen van de digitale weerbaarheid. Voor de meeste instellingen betekent dat jaarlijkse simulaties, kwetsbaarheidsscans en code-reviews. De grootste partijen krijgen daarbovenop Threat-Led Penetration Testing (TLPT) onder TIBER-NL-coordinatie van DNB. Phishing is bij TLPT een standaard initial-access-pad.
AFM- en DNB-rapportage
Significante ICT-incidenten worden gemeld bij DNB conform DORA-templates, met initiele melding binnen vier uur na classificatie. AFM kan rapportages opvragen over operationele incidenten. Een phishing-incident met financiele impact, klantdata-lek of langdurige verstoring komt in beide registers terecht. Het runbook moet dat onderscheid maken.
TLPT voor systeemspelers
TIBER-NL-tests duren zes tot twaalf maanden, met een red team dat phishing als ingang gebruikt. Voorafgaand traint u medewerkers, daarna evalueert een blue team de detectie. De rapportage gaat naar DNB. Wie zonder voorbereiding aan TLPT begint, ziet detectiegaps die jaren onopgemerkt waren.
Klantcommunicatie bij compromis
Een geslaagde phishing-aanval op klantenservice geeft toegang tot rekeningstanden, transacties en NAW-gegevens. AVG, AFM en DNB stellen alle drie eisen aan de melding. De communicatie aan klanten moet feitelijk zijn, met concreet handelingsperspectief: wachtwoord reset, fraudemonitor activeren, telefoonnummer beschikbaar.
Programma-opzet
Maandelijkse simulaties op operationele teams, kwartaal-simulaties op alle medewerkers, halfjaarlijkse tabletop voor het bestuur en een jaarlijkse red-team-oefening. Documenteer alles in een DORA-rapport dat audit en toezichthouder kunnen lezen zonder vertaling.
Verwant: Freelance finance consultant, Freelance Cybersecurity consultant.