DORA (Digital Operational Resilience Act) is sinds 17 januari 2025 actief voor financiele instellingen. Artikel 25 legt testing-eisen op: doorlopend ICT-risk-testing, threat-led penetration testing (TLPT) voor systemic banks, plus scenario-based resilience testing.
TLPT en de threat-led aanpak
TLPT voor systemic banks (designated als 'significant') wordt elke drie jaar verplicht. Threat intelligence levert realistische attack-scenarios. Red team voert aanval uit, blue team verdedigt. Resultaten naar DNB plus ECB.
Scenario-based resilience testing
Naast TLPT eisen DORA scenario-based testing voor disaster-recovery, cyber-incident en third-party-uitval. Game days waarin teams realistische scenarios oefenen. Plus formele documentatie van findings en remediation.
ICT third-party risk testing
DORA legt zware eisen op aan vendor-management voor ICT-third-parties (cloud-providers, SaaS-tools). Per critical-vendor moet testing van failover, exit-strategy en data-portability worden gedaan.
Rapportage en de DNB-aanlevering
Major-incident-reporting binnen 24 uur naar DNB. Plus jaarlijkse testing-rapportage. Plus three-yearly TLPT-rapportage. Formele documentatie is even belangrijk als de testing zelf.
Wat het in praktijk kost
TLPT-traject voor systemic bank: 500.000 tot 2 miljoen euro per cyclus. Doorlopende DORA-testing inclusief resilience plus third-party: 200.000 tot 1 miljoen euro per jaar. Voor middelgrote financiele instelling: lichter scope, 100.000 tot 400.000 euro per jaar.
Een eerlijk gesprek vooraf aan een DORA-traject
Heeft u een lopende of voorgenomen DORA-testing vraag? Stuur een bericht met uw situatie in drie zinnen: type instelling, systemic-status en de aanleiding. Ik koppel u aan een freelance test consultant die deze combinatie uit eigen praktijk kent. Geen pitch, geen accountmanager, geen verkoopgesprek. Reactie binnen een werkdag.
Verwant: Freelance test consultant inhuren.