Dienst · Software-ontwikkeling

DORA compliance software laten maken.

Maatwerk software voor de vijf pijlers van de Digital Operational Resilience Act: ICT-risk-management, incident-rapportage binnen vier uur, resilience-testing, third-party-register en threat-intel-sharing. Wij vervangen geen ProcessUnity of OneTrust voor enterprise, maar bouwen de schil die uw kernsystemen, uw eigen risico-model en uw DNB- of AFM-rapportage aan elkaar verbindt.

ICT-risk-registerIncident-meldingThird-party-registerResilience-testing

DORA compliance software op maat — wat wij wel en niet doen.

De Digital Operational Resilience Act (Verordening EU 2022/2554) trad op 17 januari 2025 in werking en raakt vrijwel elke financiële entiteit in Nederland: banken, verzekeraars, beleggingsondernemingen, pensioenfondsen, betaalinstellingen, kredietbeoordelaars, vermogensbeheerders en crypto-asset-service-providers. Ook critical ICT third-party service providers — denk aan grote cloudleveranciers — vallen via een aparte route onder direct toezicht van de Europese toezichthouders. DNB en AFM houden in Nederland het toezicht op de meeste entiteiten.

Voor het GRC-werk eromheen bestaan al goede enterprise-platformen: ProcessUnity, OneTrust, ServiceNow GRC, MetricStream, Diligent, LogicGate en Archer. Als uw organisatie al zo'n suite gebruikt en die past, dan adviseren we u dat te blijven gebruiken — daar willen wij niet tussen gaan zitten en we adviseren u een platform-vervanging zelden als losse oplossing voor DORA.

Wat we wel bouwen is de maatwerklaag die uw bestaande GRC-platform niet voor uw situatie oplost: een DORA-register dat aansluit op uw ICT-landschap en uw eigen risico-classificatie, een incident-management-flow die binnen de DORA-termijn van vier uur de juiste rapportage richting de bevoegde autoriteit voorbereidt, een third-party-register met diepe koppeling naar uw inkoop-, contract- en monitoring-systemen, en de integratie met core-banking, beleggings-administratie of polis-systemen die een standaardsuite niet uit de doos heeft. Dat doen we als aanvulling op KYC/AML-software wanneer beide trajecten samenlopen, of als zelfstandige bouwsteen binnen een breder risicomanagement-software-traject.

Drie soorten DORA-software die wij bouwen.

De meeste trajecten starten met één van deze drie en groeien organisch door als ook de andere pijlers volwassen worden. We adviseren in het eerste gesprek welke variant het meeste oplevert voor uw type instelling, uw toezichtregime en uw bestaande ICT-landschap.

Eerste traject · vast sprintbudget

DORA-register en ICT-risk-management

Een centraal register van uw ICT-assets, kritische bedrijfsfuncties, ondersteunende processen en hun onderlinge afhankelijkheden, met een risico-classificatie die aansluit op uw eigen vastgestelde beleid. Inclusief governance-flow voor periodieke review door de risk-functie, sign-off door de raad van bestuur, en aantoonbare logging voor inspectie door DNB of AFM. Vervangt uw GRC-suite niet, maar voedt die wel met data die nu vaak versnipperd in spreadsheets en in tickets-systemen zit.

Asset-registerKritische functiesRisico-classificatieRvB-sign-off
Middelgroot traject · vast sprintbudget

Incident-management en 4-uurs-melding

De software die uw security-operations-team gebruikt wanneer een major ICT-related incident is geclassificeerd: een case-management-omgeving die het incident afhandelt, de DORA-classificatiecriteria toepast (impact op cliënten, geografische spreiding, duur, dataverlies, reputatieschade, economische impact), automatisch de templates voor initial, intermediate en final notification voorbereidt, en de termijnen bewaakt richting DNB, AFM of de relevante ESA. Inclusief koppeling met uw SIEM, ticketing-systeem en de communicatieflows naar cliënten en de pers.

DORA-classificatieNotification-templatesSIEM-koppelingVier-uurs-tracking
Groter traject · vast sprintbudget

ICT third-party register en vendor-monitoring

Een volledig third-party-register dat alle uitbestede ICT-diensten in kaart brengt: contracten, sub-uitbesteders, data-flow, locatie van verwerking, exit-strategie, criticality-rating en doorlopende SLA-monitoring. Inclusief due-diligence-workflows voor nieuwe leveranciers, periodieke heronderzoeken, en automatische signalering wanneer een contract niet voldoet aan de DORA-vereisten of wanneer de gemeten beschikbaarheid achterblijft op het afgesproken niveau. Diep gekoppeld aan inkoop-, contract-management- en monitoring-systemen voor één consistent beeld.

Vendor-registerSLA-monitoringExit-strategieDue-diligence

Wat u krijgt aan het einde van een traject.

Een productieklare DORA-omgeving die aansluit op uw bestaande GRC-, security- en kernsystemen, plus alles eromheen om het zelf te beheren of door uw IT-partner te laten beheren.

  • De DORA-omgeving zelfProductie- plus staging-omgeving, draait in uw cloud (Microsoft Azure, AWS of GCP) of beheerd door ons in een EU-regio met aantoonbare data-residency.
  • Koppelingen met uw kernsystemenAPI-integraties met core-banking, polis-administratie, beleggings-administratie, uw GRC-suite (ProcessUnity, OneTrust, ServiceNow GRC), SIEM, ticketing-systeem en inkoop-/contract-management.
  • Risico-model afgestemd op uw instellingEen transparante rules-engine die kritische bedrijfsfuncties, ICT-assets, leveranciers en incidenten classificeert volgens uw eigen vastgestelde beleid en de DORA-Regulatory-Technical-Standards.
  • Rapportage-templates voor toezichthouderInitial-, intermediate- en final-notification-formats voor DNB, AFM of een andere bevoegde autoriteit, plus exports voor de jaarlijkse ICT-risk-rapportage en het third-party-register.
  • Codebase en architectuur-documentatieVolledige broncode in een Git-repository, build- en deploy-instructies en een architectuur-overzicht voor uw IT-partner of interne IT.
  • Audit-trail voor inspectieAantoonbare logging van elke handeling in het systeem — wie heeft welke risico-classificatie gewijzigd, wie heeft welk incident geclassificeerd, wie heeft welk leverancierscontract goedgekeurd — bewaard conform de DORA-bewaartermijnen.
  • Training voor de risk- en compliance-functieSessies voor de CISO, risk-officer, compliance-officer en eerstelijns-medewerkers die alerts beoordelen, plus een korte video-introductie voor leveranciers die zelf data aanleveren via het third-party-portaal.
  • Beheer-contract (optioneel)Monitoring, back-ups, security-patches, koppelings-onderhoud en doorontwikkeling op basis van nieuwe Regulatory-Technical-Standards of wijzigingen in de Joint-Examination-aanpak van de ESA's. Vaste maandprijs, meerdere reactietijd-niveaus.

Wanneer maatwerk de juiste keuze is voor uw DORA-implementatie.

Vier patronen die wij telkens terugzien bij instellingen die ons benaderen als DORA-implementatie-partner. Herkent u er één, dan praten we graag verder.

Geen GRC-suite

Geen ProcessUnity of OneTrust beschikbaar

U bent een kleinere of middelgrote financiële entiteit — een beleggingsonderneming, een betaalinstelling, een crypto-asset-service-provider of een pensioenfonds — waar de enterprise-platformen voor governance en compliance qua kosten en complexiteit niet passen. Een eigen, slankere DORA-omgeving op maat is dan vaak doelmatiger dan een suite waar u 80 procent niet gebruikt en die u toch jaarlijks aan licenties betaalt.

Versnipperde bronnen

Data zit op vijf plekken

Uw ICT-assets staan in een CMDB, kritische bedrijfsfuncties in een Visio-tekening, leveranciers in een Excel-inkooplijst, incidenten in het ticketing-systeem en risk-acceptance in een SharePoint-map. Niemand heeft één compleet beeld dat aansluit op de DORA-vereisten. Een maatwerklaag die deze bronnen aan elkaar koppelt en het DORA-register voedt vanuit de systemen waar de waarheid leeft, voorkomt dubbele administratie.

Eigen risico-model

Generieke classificatie werkt niet

De ingekochte oplossing past dezelfde DORA-classificatiecriteria toe op een grootbank en een gespecialiseerde vermogensbeheerder. U weet als CISO of risk-officer dat uw kritische functies een ander profiel hebben dan die standaard-aanname. Een eigen rules-engine waarin u criticality-, impact- en geografische factoren kunt configureren — en die u kunt verantwoorden richting DNB — geeft beter onderbouwde classificaties.

Diepe integratie

Core-systeem-koppeling vereist

Voor incident-detectie en SLA-monitoring is een hard-gekoppelde feed vanuit het core-banking-, polis- of beleggings-administratie-systeem onmisbaar. Een standaard-SaaS staat los van uw kernlandschap en signaleert pas wanneer iemand het handmatig invoert. Maatwerk laat het DORA-systeem in real-time meelezen op de transactie- en beschikbaarheids-stromen, zodat een major incident binnen minuten — niet uren — wordt geclassificeerd.

Hoe een DORA-implementatie-traject loopt.

1

Kennismaking en intake

Een gesprek waarin we begrijpen onder welk toezicht u valt (DNB, AFM of een ESA als kritisch derde), welke GRC- en security-tools u nu gebruikt, welke kernsystemen er staan, en waar de huidige flow knelt richting de DORA-vereisten. We brengen ook in kaart welke koppelingen nodig zijn met core-banking, polis-administratie, uw SIEM en uw inkoop-/contract-management. Zo weten we al voor de scope-workshop welke slimme API-integraties deel uitmaken van het traject.

2

Discovery, scope en gap-analyse

Workshop met de CISO, risk-officer, compliance-officer en de inkoop-functie, plus interviews met de mensen die nu het ICT-risk- en third-party-werk doen. We tekenen de huidige proces-stromen uit en zetten ze af tegen de vijf DORA-pijlers en de Regulatory-Technical-Standards. We identificeren waar uw bestaande GRC-platform volstaat en waar maatwerk waarde toevoegt. Aan het einde ligt er een concrete scope, een sprintplanning en een eerste schermflow van het DORA-register of het incident-management.

3

Bouw in sprints

We werken in tweewekelijkse sprints en leveren elke sprint een werkende, testbare versie op. De CISO of een delegated owner is product-owner, een lid van de raad van bestuur of CRO is opdrachtgever. Vroeg in het traject testen we het incident-management met een tabletop-exercise op basis van een realistisch scenario — een SaaS-leverancier die uitvalt of een ransomware-aanval — zodat we zien waar de flow stroef loopt voordat de eerste echte vier-uurs-melding zich aandient. Een eerste pijler staat na een paar sprints; een volledige DORA-implementatie over alle vijf pijlers loopt over een traject van meerdere sprints.

4

Uitrol, training en doorlopend beheer

Gefaseerde uitrol naar de risk- en compliance-functie, met parallel-loop tegen het bestaande proces zodat geen incident en geen leveranciers-review wordt gemist. Training voor key-users en een korte video-introductie voor leveranciers die zelf data aanleveren via het third-party-portaal. Vanaf go-live verzorgen we monitoring, security-patches, koppelings-onderhoud en doorontwikkeling op basis van nieuwe RTS-publicaties, ITS-updates of wijzigingen in de Joint-Examination-praktijk. Bij elke nieuwe richtlijn of supervisory-update pakken we de impact-analyse en de aanpassing voor onze rekening.

Veelgestelde vragen over DORA compliance software.

De vragen die CISO's, risk-officers en compliance-officers ons meestal stellen voor een DORA-traject begint.

Wat is DORA en wanneer is het in werking getreden?
DORA is de Digital Operational Resilience Act, een Europese verordening die op 17 januari 2025 in werking is getreden. De verordening vraagt van financiële entiteiten dat zij hun digitale operationele weerbaarheid op orde hebben. DORA rust op vijf pijlers: ICT-risk-management, ICT-incident-management en rapportage, digital-operational-resilience-testing, ICT-third-party-risk en informatie-uitwisseling. DNB en AFM houden in Nederland toezicht op de meeste entiteiten; voor kritische derden — denk aan grote cloudleveranciers — is er een aparte toezichts-route op Europees niveau.
Voor wie geldt DORA?
DORA geldt voor vrijwel elke financiële entiteit in de EU: banken, verzekeraars, beleggingsondernemingen, pensioenfondsen, betaalinstellingen, kredietbeoordelaars, vermogensbeheerders, beheerders van alternatieve beleggingsinstellingen, kredietregistratie-bureaus en crypto-asset-service-providers (CASP's onder MiCA). Ook critical ICT third-party service providers vallen er via een aparte route onder. Voor kleinere entiteiten gelden proportionaliteits-uitzonderingen op delen van de verordening; we brengen die in de gap-analyse in beeld.
Vervangen jullie OneTrust, ServiceNow GRC of ProcessUnity?
Nee. Voor enterprise-GRC zijn ProcessUnity, OneTrust, ServiceNow GRC, MetricStream, Diligent, LogicGate en Archer sterke producten — daar zitten wij niet tussen, en we adviseren u dat ook niet als overstap-traject. Wat we wel bouwen is de maatwerklaag die uw bestaande GRC-platform niet voor uw situatie oplost: de branche-specifieke DORA-flows, de diepe integratie met uw core-banking of polis-systeem, de eigen risico-classificatie en de aansluiting op uw inkoop-, contract- en security-systemen. Soms is maatwerk juist de enige optie omdat geen GRC-suite aanwezig is en de licentiekosten voor uw schaal niet passen.
Hoe werkt de vier-uurs-melding-flow in het systeem?
Wanneer een incident door uw security-operations als major ICT-related incident wordt geclassificeerd, ontstaat in het case-management een notification-concept met alle relevante velden voorgevuld: aard, impact op cliënten, geografische spreiding, duur, dataverlies, betrokken kritische functies en getroffen ICT-assets. Het systeem toetst aan de DORA-classificatiecriteria en bewaakt automatisch de termijnen voor de initial notification (richting de bevoegde autoriteit binnen het vereiste venster), de intermediate notification en de final report. Uw CISO of een delegated officer beoordeelt, vult de open velden aan en submit. De volledige trail — versies, beoordelaars, vrijgave en eventuele aanvullende vragen van DNB of AFM — wordt vastgelegd conform de DORA-bewaarvereisten.
Hoe verhoudt DORA zich tot de AVG en de NIS2-richtlijn?
DORA, AVG en NIS2 overlappen op onderdelen maar verschillen op scope, juridische basis en sanctie-regime. AVG raakt persoonsgegevens en is breder dan financiële diensten. NIS2 raakt essentiële en belangrijke entiteiten in een breder scala aan sectoren. DORA is sector-specifiek voor financiële entiteiten en gaat dieper op ICT-resilience en third-party-risk. Een goed ingerichte DORA-omgeving levert vaak ook NIS2-relevante data en kan AVG-gerelateerde audit-trails voeden. We bouwen het systeem zo dat de overlap actief wordt benut, in plaats van drie separate registers te onderhouden. Voor de AVG-kant doen we standaard een DPIA bij elk groot traject.
Hoe werkt het ICT third-party-register voor onze cloudleveranciers?
Het register houdt per uitbestede ICT-dienst de leverancier, het contract, de sub-uitbesteders, de data-flow, de locatie van verwerking, de exit-strategie en de criticality-rating bij. Voor critical of important functions vraagt DORA om aanvullende contractbepalingen — onder andere over locatie, audit-rechten, sub-uitbesteding, exit en informatieverstrekking — die wij in het register expliciet bijhouden zodat u kunt zien waar contracten nog moeten worden bijgewerkt. Doorlopende SLA-monitoring koppelt de gemeten beschikbaarheid aan het afgesproken niveau en signaleert wanneer een vendor systematisch onder norm presteert. Voor kritische derden zoals AWS, Microsoft Azure of Google Cloud documenteren we ook de exit-route en de uitwijk-mogelijkheid.
Hoe gaat resilience-testing er in software-vorm uit zien?
DORA vereist regelmatige digital-operational-resilience-testing en — voor entiteiten die voldoen aan bepaalde criteria — driejaarlijkse Threat-Led Penetration Testing op kritische functies. De software ondersteunt de planning, scoping en rapportage van die testen: welke kritische functie wordt wanneer getest, welke scope is met de bevoegde autoriteit afgestemd, welke red-team-partij voert het uit, welke bevindingen zijn open en wat is de remediation-status. We voeren de pen-test zelf niet uit — daar werken we met gespecialiseerde red-team-bureaus — maar we maken de cyclus aantoonbaar en beheerbaar.
Wat als wij een critical ICT third-party service provider zijn?
Als uw organisatie door de Europese toezichthouders als kritisch derde wordt aangewezen, vallen delen van uw activiteit direct onder Europees toezicht, met aparte rapportage-eisen en de mogelijkheid van een Joint Examination Team. Dat raakt vooral grote cloudleveranciers en gespecialiseerde ICT-dienstverleners die diepe afhankelijkheden creëren bij financiële entiteiten. Voor deze rol bouwen we een spiegel-omgeving: een register dat aansluit op de specifieke informatieverzoeken die ESA's kunnen indienen, plus de geautomatiseerde rapportage-flow richting Frankfurt of Parijs in plaats van DNB.
Wat bepaalt de kosten van een DORA-traject?
Vier dingen: de breedte van de scope (één pijler versus alle vijf), het aantal koppelingen met externe en interne systemen (core-banking, polis-administratie, uw GRC-suite, SIEM, inkoop), de zwaarte van uw toezichtregime en de complexiteit van uw ICT-landschap, en of u monitoring en doorontwikkeling bij ons onderbrengt of zelf intern oppakt. We schetsen de bandbreedte in het eerste gesprek en leveren altijd een vaste sprintprijs zodat u niet voor verrassingen komt te staan. Voor context over hoe wij prijzen opbouwen, zie onze pagina over insurance software laten maken en de bredere kennisbank.
Bouwen jullie ook voor pensioenfondsen, betaalinstellingen en crypto-asset-providers?
Ja. Voor pensioenfondsen ligt de focus vaak op het third-party-register en de incident-flow rondom de pensioenadministrateur. Voor betaalinstellingen op de incident-rapportage gekoppeld aan PSD2-storingsmeldingen en de ICT-risk-classificatie van de betaal-keten. Voor crypto-asset-service-providers — die onder MiCA én DORA vallen — bouwen we vaak een gecombineerde omgeving waarin DORA-pijlers naast MiCA-vereisten zoals safekeeping-controles en marktmisbruik-detectie staan. Voor verwante AI-governance-vraagstukken bij dezelfde instelling, zie onze pagina over AI Act compliance software.
Hoe gaat de overgang vanaf onze huidige Excel-trackers en SharePoint?
In fases. We laten uw bestaande registers, gedeelde drives en SharePoint-mappen een tijd parallel lopen aan het nieuwe systeem, zodat het team kan wennen en we eventuele tekortkomingen vroeg signaleren. Datamigratie doen we met scripts die we voor uw situatie schrijven — ICT-assets, kritische functies, leveranciers, historische incidenten en risk-acceptances worden gecontroleerd overgezet, met een terugrol-optie als er iets misgaat. Pas als het team comfortabel is en de eerste interne audit succesvol is verlopen, worden de oude registers gearchiveerd.

Praat met ons over uw DORA compliance software.

Een kennismaking van een half uur, vrijblijvend. We luisteren naar onder welk toezicht u valt, welke GRC-, security- en kernsystemen er staan en waar het schuurt — en geven richting waar u meteen iets aan hebt, ook als we uiteindelijk niet samenwerken.

Edit Content