Cybersecurity & DORA

> DORA: geen richtlijn, maar harde eU-verordening

De Digital Operational Resilience Act (DORA) is geen vaag kader, maar directe EU-wetgeving die financials raakt:

• In werking getreden: 16 januari 2023.
• Van toepassing op financiële entiteiten: per 17 januari 2025.

DORA richt zich onder meer op:

• ICT-risicomanagement.
• ICT-incidenten: detectie, rapportage, lessons learned.
• Periodiek testen van digitale weerbaarheid (threat-led tests, red teaming, scenario’s).
• Risico’s van (kritieke) derde partijen: cloud, SaaS, processors, MFT, core banking platforms.
• Informatie-uitwisseling over cyberdreigingen en kwetsbaarheden.

Daarbovenop blijven EBA-kaders gelden, zoals de Guidelines on ICT & security risk management en de Guidelines on outsourcing arrangements. Het gaat dus niet meer om “heb ik een pentest gehad dit jaar?”, maar om een integraal framework voor digitale weerbaarheid.

> Hoe Neo Security & Korper de financiële sector helpen

Wij combineren de offensieve en defensieve expertise van Neo Security met de automation- en MFT-kennis van Korper. Resultaat: niet alleen een rapport, maar een werkende set banking security solutions.

1. DORA gap-analyse & governance

We starten niet met tooling, maar met de vraag: hoe ver ben je nu ten opzichte van DORA?

• Mapping van bestaande ICT-risk processen op DORA-vereisten.
• Beoordeling van governance, rollen (CISO, CIO, risk, internal audit), reporting lines.
• Check op beleid rondom ICT-incidenten, testing, third parties, threat intel en scenario’s.
• Concrete gap-analyse met prioriteiten en planning richting 2025–2026.

DORA compliance financieel is niet één project, maar een set structurele capabilities. Wij leggen uit wat noodzakelijk is, wat verstandig is en wat vooral ruis is.

Meer over governance: governance & compliance en CISO-as-a-Service / vCISO.

2. Pentests, red teaming & DORA-testverplichtingen

DORA vraagt om periodiek testen van digitale weerbaarheid – niet alleen in IT, maar ook in kritieke processen en ketens.

• Penetration testing op klantportalen, API’s, tradingomgevingen, mobile apps en interne omgevingen. Meer over pentests: penetration testing
• Red team operations met financiële scenario’s (fraude, data-exfil, privilege escalation, chain compromise). Meer over red teaming: red team operations
• Purple teaming: direct samenwerken met je SOC/blue team om detecties en playbooks te tunen. Zie ook Blue Team-as-a-Service.

Doel: DORA-testverplichtingen invullen zó dat je er echt beter van wordt – niet alleen een vinkje.

3. Third-party & MFT-risico’s: van papier naar technische controls

DORA en de EBA-richtlijnen leggen nadruk op kritieke derde partijen en outsourcing: cloud, SaaS, MFT, core banking-services en procesuitbesteding.

• Inventarisatie van kritieke ICT- en MFT-ketens.
• Beoordeling van encryptie, logging, NIST/FIPS-alignment en audittrail op MFT-oplossingen zoals GoAnywhere MFT.
• Inrichting van veilige file transfer voor batchbetalingen, rapportage richting toezichthouders en uitwisseling met partners.
• Koppeling naar je risk register, outsourcing register (EBA) en DORA third-party framework.

Meer over MFT: GoAnywhere MFT door Neo Security & Korper en security tooling.

4. 24/7 monitoring, incident response & threat intelligence

DORA verwacht dat je ICT-incidenten kunt detecteren, analyseren, rapporteren én daar ook structureel van leert. Reageren is niet slechts een oplossing, maar een proces. En dat is wat waar we u kunnen helpen.

• Managed SOC / 24/7 monitoring met financial use-cases (fraude, privilege misuse, data exfil, API abuse). Meer over SOC: managed SOC
• Incident Response met duidelijke SLA’s, inclusief forensics en begeleiding richting DNB/AFM (waar nodig). Meer over response: incident response
• Threat intelligence & dark web monitoring gericht op de financiële sector (credentials, API keys, card/data dumps). Vaak hebben organisaties niet direct door dat er toch vaak op prive-apparaten (zoals laptops) data uitgelekt wordt. Wij bieden een dark web monitoring service die u direct informeert zodra er dergelijke gegevens verhandeld worden. En dat op de Europese stijl. Er wordt niet betaald voor deze data. Onze partner is zo diep geinfiltreerd in dergelijke marktplaatsen dat we dit op een ethische manier kunnen doen.Meer weten? Lees hier Infostealer- en data verhandel platformen monitoren.en hier leest u meer over het nut van één centrale verzamelplek voor threat intelligence. Threat Brain.

Incident-rapportages koppelen we terug naar je DORA-framework: welke controls faalden en wat moet structureel anders?

Uw digitale weerbaarheid is geen bijlage bij de jaarrekening.

> Wil je weten waar je nu echt staat qua DORA compliance financieel?

Eén sessie is genoeg om te bepalen of je een gap-analyse, red team, technische hardening of juist een governance-sprint nodig hebt. We kijken samen naar je huidige setup, druk vanuit DNB/AFM en de risico’s in je keten.

Bronnen & achtergrond

• ESMA – DORA: in werking sinds 2023, van toepassing vanaf 17 januari 2025
• DNB – DORA en focus op ICT-risicomanagement, testen, incidenten en third parties
• AFM – Toelichting DORA voor de Nederlandse financiële markten
• ENISA – Threat landscape finance sector 2023–2024
• EBA – Guidelines on ICT & security risk management
• EBA – Guidelines on outsourcing arrangements
• Korper – GoAnywhere MFT voor veilige file transfer