DORA audit

Stel je voor: je wordt wakker en internetbankieren werkt niet. Betalingen lopen vast, orders worden niet verwerkt, de klantenservice raakt overspoeld. Een storing van een paar uur, maar de impact is direct voelbaar in omzet, vertrouwen en misschien zelfs in de headline van het journaal.

Precies dát scenario wil de Digital Operational Resilience Act (DORA) beperken. En precies dáár komt de DORA audit in beeld.

Wat is DORA in gewone mensentaal

DORA is Europese regelgeving die moet borgen dat financiële organisaties digitaal weerbaar zijn. Niet alleen tegen cyberaanvallen, maar tegen álle ICT-gerelateerde verstoringen: van uitval van een datacenter tot een mislukte release van nieuwe software.

De regeling geldt voor een breed palet aan financiële instellingen: banken, verzekeraars, beleggingsinstellingen, betaalinstellingen en meer. In totaal zo’n twintig typen financiële entiteiten vallen onder de reikwijdte. Daarnaast introduceert DORA een toezichtskader op zogeheten “kritieke ICT-dienstverleners”, zoals grote cloud- en technologiepartijen die cruciaal zijn voor de financiële sector.

De kern van DORA draait om vijf thema’s:

1. Een robuust ICT-riskmanagement raamwerk.

2. Beheersing en rapportage van ICT-incidenten.

3. Periodieke testen van digitale weerbaarheid.

4. Beheer van risico’s rond uitbestede ICT-diensten (third parties).

5. Informatie-uitwisseling over dreigingen en kwetsbaarheden.

Belangrijk detail: instellingen moeten vanaf 17 januari 2025 aantoonbaar voldoen aan DORA. Dat maakt de vraag “hoe DORA-proof zijn wij eigenlijk?” urgent voor bestuur, directie én internal audit.

Wat is een DORA audit?

Een DORA audit is een systematisch onderzoek naar de vraag in hoeverre een organisatie voldoet aan de eisen van DORA én of de digitale operationele weerbaarheid daadwerkelijk op niveau is.

Het gaat dus niet alleen om “hebben we beleid op papier?”, maar vooral om: werkt het, sluiten we aan bij de risico’s van deze organisatie, en kunnen we dat aantonen richting de toezichthouder?

Inhoudelijk raakt een DORA audit onder meer:

• Governance en rol van bestuur en hoger management in ICT-risicomanagement.

• Opzet, bestaan en werking van het ICT-riskmanagementframework (beleid, processen, rapportages).

• Registratie, classificatie en rapportage van ICT-incidenten en “major incidents”.

• De manier waarop digitale weerbaarheid getest wordt, van business continuity tot penetratietests.

• Contractmanagement en riskmanagement rond ICT-dienstverleners, inclusief kritieke third parties.

DORA schrijft expliciet voor dat het ICT-risicomanagement framework onderdeel moet zijn van het totale risicomanagementsysteem en dat dit framework periodiek onderwerp van interne audit is. Daarmee is de DORA audit geen ‘nice to have’, maar een directe opdracht aan de derde lijn.

Voor internal auditors, riskmanagers en compliance officers sluit dit nauw aan bij hun bestaande verantwoordelijkheden: risico’s identificeren, beheersmaatregelen beoordelen, compliance borgen en het bestuur in positie brengen.

Waarom een DORA audit méér is dan “nog een IT-audit”

Veel organisaties behandelen DORA aanvankelijk als “de zoveelste IT-regelgeving”. Maar wie DORA reduceert tot een technisch compliance-project, mist de essentie.

DORA gaat niet alleen over firewalls, back-ups en loggingsystemen. Het gaat over de continuïteit van primaire processen en het vertrouwen van klanten. De wetgever heeft bewust gekozen voor een integrale benadering waarin ICT-risico’s expliciet onderdeel zijn van het bredere risicomanagement en de governance van de organisatie.

Dat zie je bijvoorbeeld terug in:

• De nadruk op bestuur en senior management: zij blijven eindverantwoordelijk voor digitale weerbaarheid, ook als er veel is uitbesteed.

• De rol van critical ICT third-party providers, die onder direct Europees toezicht kunnen vallen.

• De verplichting om ICT-risico’s, incidentmanagement, testen en third-party risk in één samenhangend framework onder te brengen.

Een DORA audit raakt dus de volle breedte van de organisatie: business, IT, risk, compliance, inkoop én directie. Juist daarom ligt hier een belangrijke kans voor internal audit om zich te positioneren als strategische partner in plaats van “controleur achteraf”.

De vijf bouwstenen van een DORA audit verder uitgediept

Om de DORA audit concreter te maken, loont het om de vijf thema’s nog iets verder uit te werken, in gewone taal.

1. Governance en strategieHier gaat het om de vraag: heeft de organisatie digitaal risicobewust leiderschap? Bestuur en directie moeten niet alleen formeel verantwoordelijk zijn, maar ook aantoonbaar betrokken: via rapportages, besluitvorming over risk appetite, prioritering van investeringen en het stellen van de juiste vragen.

Een goede DORA audit kijkt of digitale weerbaarheid verankerd is in strategie, risk appetite, impacttoleranties en de planning- & controlcyclus.

2. ICT-riskmanagementframeworkDORA verlangt een “sound, comprehensive and well-documented” ICT-risicomanagementframework. Dat betekent: duidelijke policies, processen, rollen, risk assessments, controls, monitoring en rapportages.

Voor auditors is dit vertrouwd terrein: je beoordeelt de opzet, het bestaan en de werking van het framework, met specifieke aandacht voor de aansluiting op de organisatiecontext en de proportionaliteit (niet elk klein kantoor hoeft een bank-achtige inrichting te hebben).

3. Incidentmanagement en rapportageAls er iets misgaat, moet dat snel zichtbaar zijn, intern én, bij grote incidenten, voor de toezichthouder. DORA stelt eisen aan detectie, logging, classificatie, escalatie en rapportages van ICT-incidenten.

In de audit kijk je daarom niet alleen naar het incidentregister, maar ook naar monitoring, alerting, de praktijk van storingsafhandeling en de kwaliteit van root cause analyses.

4. Testen van digitale weerbaarheidWeerbaarheid kun je niet alleen op papier beoordelen. DORA verlangt periodieke testen, variërend van basis-testen tot geavanceerde threat-led penetratietests.

Voor de audit betekent dit: beoordelen of het testplan risicogebaseerd is, of de resultaten leiden tot concrete verbeteracties en of lessen uit oefeningen (bijvoorbeeld crisis-simulaties) daadwerkelijk worden opgepakt.

5. Third-party risk managementVeel financiële instellingen leunen (zwaar) op externe ICT-dienstverleners, van cloud tot betalingsplatforms. DORA stelt scherpe eisen aan contracten, auditrechten, exit-strategieën en het structureel monitoren van deze leveranciers.

Een DORA audit zoomt in op de keten: begrijpt de organisatie welke functies afhankelijk zijn van welke leveranciers, zijn de contracten DORA-proof en hoe wordt de performance en security van leveranciers gemonitord?

De DORA audit stap voor stap

Hoewel elke organisatie en elke auditopdracht uniek is, kun je een DORA audit grofweg langs vijf stappen opbouwen.

1. Begrijp de context en scope

Start met helderheid: op welke entiteiten is DORA van toepassing, welke diensten zijn kritisch en welke ICT-ketens horen daarbij?

Voor internal auditors betekent dit:

• De organisatiestructuur en vergunningen goed begrijpen.

• In kaart brengen welke processen “kritieke of belangrijke functies” ondersteunen.

• Bepalen welke ICT-assets en third parties essentieel zijn voor die functies.

Pas als deze scope scherp is, kun je zinnige uitspraken doen over digitale operationele weerbaarheid.

2. Leg de link met het bestaande risicomanagement

DORA vraagt om integratie met het bestaande risicomanagementframework, niet om een parallel DORA-universum.

Een logische vervolgstap is dus om te analyseren:

• Hoe ICT-risico’s nu in de enterprise risk management (ERM)-cyclus zijn opgenomen.

• In hoeverre het bestaande risk- en control-framework al aansluit bij de DORA-eisen.

• Of rollen en verantwoordelijkheden rondom ICT-risico’s duidelijk zijn belegd, in lijn met het three lines model.

Internal auditors en riskmanagers ervaren in de praktijk vaak dat ICT-risico’s versnipperd zijn belegd en dat IT en business verschillende talen spreken. Een DORA audit legt deze fricties helder bloot, en kan zo een katalysator zijn voor verbetering.

3. Voer een gerichte DORA gap-analyse uit

Een goede DORA audit begint met inzicht in de grootste gaten. Geen checklist van honderden eisen, maar een gerichte analyse langs de volgende hoofdthema’s:

• Governance en strategie: is er een duidelijke digitale weerbaarheidsstrategie, met risk appetite en impacttoleranties voor ICT-verstoringen?

• ICT-riskmanagement: is er een gedocumenteerd framework, inclusief beleid, processen, rollen, rapportages en monitoring?

• Incidentmanagement: worden ICT-incidenten volledig en uniform geregistreerd, geclassificeerd en opgevolgd? Kun je major incidents tijdig rapporteren aan toezichthouders?

• Testen van digitale weerbaarheid: zijn er structurele tests, van functionele recovery-tests tot crisis-oefeningen en – waar nodig – threat-led penetratietests?

• Third-party risk: zijn contracten, exit-strategieën, auditrechten en rapportages rond kritieke ICT-leveranciers in lijn met DORA vereisten?

In deze fase komt de expertise van auditors sterk naar voren: het scherp krijgen van de werkelijke onderzoeksvraag, het kiezen van passende criteria en het analyseren van complexe ICT-ketens.

4. Ontwerp een meerjarig DORA auditprogramma

Een DORA audit is geen eenmalige exercitie. Het ICT-riskmanagementframework moet periodiek worden herzien en is onderwerp van terugkerende interne audits.

Een volwassen aanpak vraagt dus om een meerjarig auditprogramma, waarin je bijvoorbeeld:

• Jaarlijks de governance, risk-rapportages en incidentmanagement beoordeelt.

• Periodiek diepgravende audits doet op kritieke ICT-ketens, zoals betaalverkeer of handelsplatforms.

• Thematisch audits plant op third-party risk, security-monitoring of crisis-oefeningen.

Voor internal auditors bij grote organisaties sluit dit goed aan bij bestaande auditplannen en KPI’s zoals het aantal afgeronde audits, de dekking van kritieke risico’s en de mate van compliance.

5. Besteed expliciet aandacht aan cultuur en gedrag

Digitale weerbaarheid is niet alleen techniek, processen en papieren beleidsdocumenten. Het draait net zo goed om gedrag: melden mensen incidenten? Nemen lijnmanagers eigenaarschap voor ICT-risico’s? Worden lessons learned echt benut?

Ferocia besteedt in haar opleidingen veel aandacht aan de balans tussen hard en soft controls en aan het doelgericht beïnvloeden van gedrag binnen organisaties. De DORA audit is een uitstekende gelegenheid om die bril op te zetten:

• Hoe praten mensen in de organisatie over ICT-risico’s; als “IT-probleem” of als strategische factor?

• Is er een open meldcultuur rondom incidenten en bijna-incidenten?

• Worden testresultaten en auditbevindingen gebruikt om te leren, of alleen om vinkjes te zetten richting toezichthouder?

Internal auditors die ook de culturele dimensie onderzoeken, leveren veel rijkere en duurzamere aanbevelingen op dan wanneer ze alleen de formele beheersmaatregelen beoordelen.

Veelgemaakte fouten bij DORA audits

In de praktijk zien we een aantal valkuilen terugkeren:

Organisaties die DORA puur als IT-project behandelen, missen de koppeling met strategie en business. Dan ontstaat er een “compliance-laagje” over bestaande processen, zonder dat de echte kwetsbaarheden verdwijnen.

Een andere valkuil is het overschatten van de huidige volwassenheid: “we doen al jaren iets met BCM en cyber, dus dat zal wel goed zitten”. Een DORA audit laat vaak zien dat processen niet integraal zijn, dat rapportages versnipperd zijn en dat er gaten zitten in incidentregistratie of third-party-beheer.

Tot slot is er het risico van te veel focus op documenten. Een fraai geschreven beleidsstuk zegt weinig als medewerkers het niet kennen, systemen het niet ondersteunen of incidenten tóch langs de radar glippen. Hier komt het vakmanschap van de operational auditor naar voren: dóórvragen, de werkvloer op, feiten checken.

De rol van internal audit na 17 januari 2025

Vanaf het moment dat DORA volledig van kracht is, wordt de DORA audit geen eenmalige exercitie maar een terugkerend onderdeel van de auditplanning.

Voor internal auditors bij grote organisaties betekent dit:

• ICT-risico’s structureel opnemen in de risicobeoordeling en audituniversum.

• Zorgen voor voldoende kennis en vaardigheden op het gebied van ICT-risicomanagement en digitale weerbaarheid.

• Intensief samenwerken met risk management en compliance om dubbel werk te voorkomen en toch onafhankelijke assurance te bieden.

Daarmee groeit de internal auditor steeds meer uit tot gesprekspartner van bestuur en toezichthouder over digitale weerbaarheid. Door scherp, onafhankelijk en toekomstgericht te onderzoeken en te rapporteren.

Hoe Ferocia kan ondersteunen?

DORA raakt precies de gebieden waar Ferocia dagelijks mee bezig is: audit, control, risk management en compliance, zowel via opleidingen en trainingen als via interim en consultancy en werving en selectie.

Of je nu internal auditor, riskmanager of compliance officer bent: een stevig DORA onderzoek vraagt om actuele kennis, praktische vaardigheden en het vermogen om techniek, processen en gedrag met elkaar te verbinden.

Met praktijkgerichte opleidingen, ervaren interim-professionals en ondersteuning bij het opbouwen van je audit- en riskteam helpt Ferocia organisaties om niet alleen “DORA-compliant” te zijn, maar vooral écht digitaal weerbaar. Zodat bestuurders rustig kunnen slapen, óók als er ergens in de keten een storing optreedt.