DORA Gap-analyse: Stappenplan

DORA Gap-analyse

Vanaf januari 2025 geldt de Digital Operational Resilience Act (DORA) binnen de financiële sector. Instellingen moeten vanaf dan aantonen dat ze hun digitale veiligheid op orde hebben. Toch zijn veel organisaties nog niet zeker of ze aan alle eisen voldoen. Vooral auditmanagers en CISO’s vragen zich af: hebben wij alles goed geregeld? En wat ontbreekt er nog?

Het uitvoeren van een DORA gap-analyse biedt hiervoor de oplossing. Hiermee maak je een heldere vergelijking tussen je huidige situatie en de DORA-verplichtingen. Zo weet je precies waar de gaten zitten en hoe je die moet aanpakken. Je voorkomt hiermee verrassingen bij controles van toezichthouders.

Deze gids biedt daarom een duidelijk stappenplan. Ook krijg je inzicht in veelgemaakte fouten én tips hoe je deze kunt voorkomen. Bovendien ontvang je een praktische checklist, waarmee je snel zelf aan de slag kunt.

Hulp nodig met DORA?

Onze consultants helpen je graag verder.

Neem contact op

Wat is een DORA gap-analyse?

Een DORA gap-analyse betekent eenvoudig gezegd dat je jouw ICT-veiligheid vergelijkt met wat DORA verplicht stelt. Dit doe je gestructureerd, aan de hand van duidelijke regels uit deze Europese wetgeving. Denk aan regels voor risicobeheer, incidentmeldingen, het testen van systemen en het veilig omgaan met IT-leveranciers.

Het doel van zo’n analyse is helder: vinden waar je organisatie nog niet aan voldoet voordat de toezichthouder dat doet. Je zoekt dus actief naar problemen. Bijvoorbeeld processen die niet goed zijn beschreven of incidenten die niet binnen de verplichte tijd worden gemeld. De resultaten zet je overzichtelijk in een rapport. Daarmee heb je meteen een praktisch stappenplan in handen om verbeteringen door te voeren.

Belangrijk hierbij: DORA is specifiek gericht op financiële instellingen. Hoewel het raakvlakken heeft met algemene IT-audits, ligt de nadruk hier duidelijk op operationele veiligheid. Houd hier rekening mee als je de analyse uitvoert.

Waarom is DORA-compliance belangrijk?

Voldoen aan de DORA wetgeving is verplicht voor financiële instellingen. Wie niet aan deze eisen voldoet, riskeert boetes, schade aan de reputatie en beperkingen in bedrijfsvoering. Maar compliance biedt niet alleen bescherming tegen sancties. Het verbetert ook je digitale veiligheid en zorgt ervoor dat je klanten en toezichthouders gerust kunt stellen.

Vanaf januari 2025 is het zover. Dat betekent dat audit- en risicomanagers dit jaar actie moeten ondernemen. De gap-analyse is daarbij een ideaal hulpmiddel. Hiermee toon je direct aan het management waar je organisatie goed presteert en waar verbeterpunten liggen. Bovendien kan dit de basis vormen voor plannen die je presenteert aan bestuurders. Zo krijgt DORA niet alleen aandacht van IT-specialisten, maar ook van directieleden die strategische beslissingen nemen.

Belangrijkste DORA-eisen en pijlers

DORA stelt specifieke eisen aan de digitale veiligheid van financiële organisaties. Die eisen zijn verdeeld over vijf duidelijke pijlers. Hieronder staan ze kort uitgelegd:

  • ICT-risicomanagement: Je beleid moet helder zijn vastgelegd en risico’s moet je regelmatig beoordelen en aanpakken.
  • Incidentbeheer en melding: Incidenten zoals cyberaanvallen moeten binnen 24 uur worden gemeld bij toezichthouders.
  • Digitale weerbaarheidstesten: Jaarlijks testen uitvoeren om zwakke plekken op te sporen, bijvoorbeeld met penetratietesten.
  • Derde partijen beheren: ICT-risico’s bij leveranciers beheren via duidelijke afspraken en regelmatige controles.
  • Informatie-uitwisseling: Samenwerken binnen de sector om informatie over dreigingen en incidenten te delen.

Al deze gebieden komen terug in je gap-analyse. Dat is belangrijk, omdat je hierdoor zeker weet dat je alle belangrijke punten controleert.

Stap 1 – Scope en doelstellingen bepalen

Elke goede gap-analyse start met het bepalen van de reikwijdte en doelen. Bepaal eerst wat precies onder je analyse valt. Zijn dat alleen bepaalde afdelingen, of neem je de hele organisatie mee? Denk ook aan welke IT-systemen, processen en externe leveranciers belangrijk zijn.

Je doel moet helder en meetbaar zijn. Bijvoorbeeld: “Onze organisatie voldoet vóór eind 2024 volledig aan DORA.” Zo’n helder doel geeft richting aan het hele project.

Stel ook een projectteam samen. Vaak leiden auditmanagers, compliance officers of CISO’s zo’n project. Ook medewerkers uit andere afdelingen horen erbij. Dit zorgt ervoor dat iedereen begrijpt waarom de analyse belangrijk is.

Leg dit alles vast in een scope-document. Daarmee voorkom je later discussies over wat wel of niet meegenomen moet worden.

Stap 2 – Huidige situatie in kaart brengen

Verzamel eerst alle relevante documenten. Dit zijn bijvoorbeeld IT-beleidsstukken, rapportages van eerdere incidenten en overeenkomsten met leveranciers. Zorg dat je compleet bent, want alleen dan kun je goed vergelijken.

Ook gesprekken met medewerkers zijn belangrijk. Vaak blijken maatregelen in de praktijk anders uit te pakken dan op papier staat. Door te praten met IT-managers en collega’s van compliance krijg je beter inzicht in de werkelijke situatie.

Een goede tip hierbij is om eerst een snelle zelfscan te doen. Hiermee krijg je direct inzicht in mogelijke tekortkomingen. Bijvoorbeeld: voert je organisatie jaarlijks penetratietesten uit zoals DORA voorschrijft?

Leg uiteindelijk al deze informatie vast in een overzichtelijke samenvatting. Dit wordt je uitgangspunt bij het vaststellen van gaps in de volgende stap.

Stap 3 – Gaps identificeren en analyseren

Nu komt het echte werk: het ontdekken van de verschillen tussen de huidige situatie en wat DORA precies vraagt. Dit doe je stap voor stap, per DORA-pijler. Gebruik hiervoor een checklist of Excel-matrix. Zet daarin duidelijk de eisen tegenover wat je organisatie nu doet.

Maak hierbij onderscheid tussen verschillende soorten problemen. Zijn het bijvoorbeeld problemen met beleid, ontbreekt een technische maatregel, of zijn bepaalde procedures nog niet duidelijk uitgewerkt? Door dit verschil helder te maken, wordt straks duidelijk wat er precies nodig is om verbeteringen door te voeren.

Een voorbeeld van een duidelijke gap: DORA verplicht een jaarlijkse penetratietest, maar jouw organisatie voert dit slechts eens in de paar jaar uit. Zo’n verschil noteer je direct.

Stap 4 – Gaps beoordelen en prioriteren

Zodra je een lijst hebt van alle gaps, bepaal je welke je als eerste aanpakt. Niet elke tekortkoming brengt dezelfde risico’s mee.

Let hierbij vooral op:

  • Impact van het probleem (wat gebeurt er als dit blijft bestaan?)
  • Inspanning nodig om het probleem op te lossen
  • Urgentie

Stap 5 – Actieplan opstellen

Met je prioriteitenlijst maak je een concreet actieplan. Per punt bepaal je duidelijk wat er moet gebeuren, wie het doet en wanneer het klaar moet zijn.

Neem benodigde budgetten en capaciteit op in het plan. Zo voorkom je vertragingen. Maak eventueel een visuele tijdlijn om het overzicht te behouden.

Gebruik waar mogelijk bestaande projecten. Is je organisatie bezig met ISO27001? Integreer dan DORA-maatregelen daarin. Zo werk je efficiënt.

Stap 6 – Implementatie en monitoring

Uitvoering vraagt om regelmatige checks. Plan momenten om de voortgang te bespreken. Train medewerkers en zorg voor voldoende bewustzijn. Stel meetpunten in om te zien of de verbeteringen effect hebben.

Plan ook een interne audit of externe toetsing achteraf. Daarmee maak je compliance een blijvend onderdeel van je werk.

Veelvoorkomende uitdagingen en tips

Bij een gap-analyse kom je altijd obstakels tegen:

  • Onzekerheid over regels: Begin met duidelijke zaken en betrek specialisten.
  • Tijdgebrek: Prioriteer acties en vraag eventueel externe hulp.
  • Interne weerstand: Toon duidelijk het praktische voordeel.
  • Verouderde systemen: Splits grote problemen af voor aparte aanpak.
  • Gebrek aan structuur: Gebruik hulpmiddelen zoals checklists.

    Meer weten over de DORA Gap-analyse? Volg onze socials.

    Youtube Linkedin Spotify