Kruso Logo
Contacteer ons

DORA Agent | AI

Bereiken van DORA-compliance binnen de hele organisatie

De EU-verordening over digitale operationele weerbaarheid is nu van kracht. Toch worstelen veel organisaties nog steeds met het documenteren van hoe zij daadwerkelijk aan de eisen voldoen. Hier vind je een praktische checklist en een inzicht in hoe onze DORA Agent je kan helpen om overzicht en compliance op orde te krijgen. 

DORA is nu realiteit - maar ben je operationeel compliant?

DORA – ofwel de Digital Operational Resilience Act – is sinds januari 2025 van kracht. Alle organisaties in de financiële sector, van banken en verzekeringsmaatschappijen tot fintechs en hun leveranciers, zijn nu verplicht om aan te tonen dat hun digitale weerbaarheid op orde is. 

Maar “DORA-klaar” zijn is niet hetzelfde als operationeel DORA-compliant zijn. 

Veel organisaties ervaren nog steeds: 

  • Een kloof tussen beleid en praktijk 

  • Onduidelijke processen voor incidentbeheer en rapportage 

  • Handmatige en gefragmenteerde workflows die documentatie moeilijk maken 

DORA draait niet alleen om het hebben van regels – maar om het kunnen aantonen dat ze werken. Hier komt een checklist van pas als een eenvoudig en effectief hulpmiddel om zwakke punten en sterke kanten in jouw compliance-setup te identificeren. 

De vijf pijlers van DORA - kort uitgelegd

  1. ICT-risicobeheer

    Organisaties moeten robuuste IT-systemen opzetten en onderhouden die bestand zijn tegen en de impact van ICT-risico’s kunnen beperken. Dit omvat: 

    • Identificatie en classificatie van kritieke functies en middelen 

    • Continue monitoring van alle bronnen van digitale risico’s 

    • Implementatie van gedetailleerde nood- en herstelplannen die minstens jaarlijks worden getest 

    • Mechanismen om abnormaal gedrag snel op te sporen en te leren van interne en externe incidenten 

    Risicobeheer moet levendig en operationeel zijn – niet slechts een PDF in een governance-map. 

  2. Incidentbeheer en rapportage

    DORA stelt eisen aan uniforme en tijdige rapportage van IT-gerelateerde incidenten. Dit betekent: 

    • Incidenten moeten worden gelogd, geclassificeerd en beoordeeld volgens een gemeenschappelijke EU-standaard 

    • Ernstige incidenten moeten in drie fasen worden gerapporteerd: initieel, voorlopig en definitief 

    • De rapportage moet verlopen via sjablonen en processen zoals vastgesteld door de Europese toezichthouders (EBA, EIOPA en ESMA) 

    Dit vereist geautomatiseerde processen en duidelijke verantwoordelijkheden voor zowel monitoring als rapportage. 

  3. Testen van digitale weerbaarheid

    Organisaties moeten hun digitale weerbaarheid minstens één keer per jaar testen – en oppervlakkige checklists zijn niet voldoende. De eisen omvatten: 

    • Fundamentele technische testen van systemen en tools 

    • Snel identificeren en oplossen van kwetsbaarheden 

    • Geavanceerde dreigingsgerichte penetratietests (TLPT) voor systemen die kritieke functies ondersteunen 

    DORA staat erop dat weerbaarheid getest wordt - niet aangenomen. 

  4. Beheer van derde partijen

    DORA stelt strengere eisen aan de samenwerking met IT-dienstverleners, vooral die van kritisch belang. Dit houdt in: 

    • Toezicht op alle uitbestede activiteiten – inclusief groepsinterne 

    • Focus op concentratierisico’s en dooruitbesteding 

    • Harmonisatie van contractuele afspraken, inclusief SLA’s, datalokalisatie en toegangsvoorwaarden 

    • Een volledig en actueel register van leveranciers en onderaannemers 

    Bedrijven moeten kunnen aantonen dat zij hun volledige digitale leveranciersketen onder controle hebben en kunnen reageren als er iets misgaat. 

  5. Informatie-uitwisseling

    Tot slot moedigt DORA actieve kennisdeling aan over cyberdreigingen en digitale kwetsbaarheden - tussen bedrijven onderling en met toezichthouders. Dit betekent: 

    • Bedrijven kunnen samenwerkingsfora en delingsstructuren opzetten 

    • Toezichthouders zullen geanonimiseerde dreigingsinformatie delen 

    • Organisaties moeten een vast proces hebben om op gedeelde informatie te reageren 

    Informatie delen betekent niet “jezelf blootstellen”, maar het versterken van de collectieve cyberverdediging in de sector.

DORA Agent

DORA’s vijf pijlers zijn helder en ambitieus maar in de praktijk complex te implementeren. Het vereist gestructureerde samenwerking tussen IT, bestuur, beveiliging en compliance. Hierin kan Kruso’s DORA Agent een sleutelrol spelen: Door data te verzamelen, status te visualiseren en documentatie te automatiseren, maakt het de DORA-aanpak levendig, transparant en beheersbaar elke dag opnieuw. 

Bij Kruso hebben we een prototype ontwikkeld van een DORA Agent - een digitaal hulpmiddel dat organisaties helpt hun compliance-werk te bundelen, te visualiseren en te automatiseren. 

Met de DORA Agent kun je: 

  • In real-time een visueel overzicht krijgen van je compliance-status 

  • Hiaten en risico’s in het systeemlandschap identificeren 

  • Documentatie en rapportages automatisch genereren 

  • Samenwerking tussen IT, governance en management ondersteunen 

Onze oplossing is gebouwd volgens API-first principes, waardoor het eenvoudig te integreren is in bestaande systemen zonder zware migraties of dataduplicatie. 

DORA-compliance eenvoudig gemaakt met de AI DORA Agent

Benieuwd naar de DORA Agent? Duik er hier in

Ontmoet het team achter DORA Agent

Je wilt misschien ook lezen

DORA-compliance eenvoudig gemaakt met de AI DORA AgentHoe AI organisaties kan helpen met DORA
nlEN