DORA

Operationele weerbaarheid voor AI en data in de financiële sector

DORA maakt ICT-weerbaarheid tot een verplichting op bestuursniveau voor financiële entiteiten. De audit trails, fail-closed defaults en soevereine, self-hosted implementatie van Scrydon verkleinen het concentratierisico en geven toezichthouders iets om te inspecteren.

Wat het is

Digital Operational Resilience Act (DORA)

De Digital Operational Resilience Act (Verordening (EU) 2022/2554) creëert een uniform kader voor de digitale operationele weerbaarheid van de financiële sector in de EU. Zij verplicht financiële entiteiten om ICT-risico te beheersen, ernstige ICT-gerelateerde incidenten te classificeren en te melden, hun digitale operationele weerbaarheid te testen en de risico's van ICT-derde aanbieders te beheersen — inclusief concentratierisico en contractuele waarborgen. Kritieke ICT-derde aanbieders vallen onder een specifiek EU-toezichtregime. DORA is van toepassing sinds januari 2025.
In het kort
Jurisdictie
Europese Unie
Van toepassing op
Financiële entiteiten in de hele EU — banken, verzekeraars, beleggingsondernemingen, betaal- en cryptoaanbieders en andere — en de ICT-derde aanbieders die hen bedienen.
Neem contact op
Hoe wij helpen

Hoe Scrydon u helpt te voldoen

De controls zijn in de runtime ingebouwd, zodat u compliance kunt aantonen met bewijs uit het platform zelf — in plaats van het achteraf samen te stellen.

ICT-risicobeheer by design

Fail-closed defaults, een mTLS-servicemesh en policy-as-code-autorisatie geven u een weerbare least-privilege-architectuur voor AI- en dataworkloads. Controls worden consistent afgedwongen in zowel de application- als de dataplane, wat het ICT-risicobeheerkader ondersteunt dat DORA van financiële entiteiten verwacht.

Audit log en traceerbaarheid van incidenten

Het onveranderlijke, doorzoekbare audit log legt actoren, IP-adressen en besluiten vast met bewaarcontrols, en levert daarmee de traceerbaarheid die nodig is om ernstige ICT-gerelateerde incidenten te detecteren, classificeren, onderzoeken en melden en om weerbaarheid aan te tonen aan toezichthouders en auditors.

Minder risico van derden en concentratierisico

Self-hosted en soevereine implementatie betekent dat kritieke workloads niet afhankelijk hoeven te zijn van één externe hyperscaler, wat rechtstreeks ingaat op DORA's zorg over concentratierisico bij ICT-derde aanbieders. Externe AI-leveranciers zijn opt-in, waardoor de toeleveringsketen expliciet en onder uw controle blijft.

Weerbaarheidstesten en continuïteit

Omdat het platform binnen uw eigen omgeving kan draaien met reproduceerbare, door beleid bestuurde configuratie, kunt u het opnemen in uw testen van digitale operationele weerbaarheid en in uw continuïteitsplanning, en failover en herstel oefenen op infrastructuur die u zelf beheert.

Evidence packs per framework

Evidence packs koppelen platformcontrols aan de weerbaarheids- en ICT-risicothema's van DORA, naast ISO 27001 en SOC 2, en geven uw risk-, compliance- en auditteams een gedocumenteerd startpunt voor het informatieregister en het contact met toezichthouders.

Belangrijkste vereisten

DORA: wat er van u wordt gevraagd

  • Voer een omvattend ICT-risicobeheerkader onder verantwoordelijkheid van het leidinggevend orgaan.
  • Detecteer, classificeer en meld ernstige ICT-gerelateerde incidenten binnen de gestelde termijnen.
  • Voer regelmatig testen van digitale operationele weerbaarheid uit.
  • Beheers ICT-risico van derden, inclusief contractuele waarborgen en exitstrategieën.
  • Monitor en beperk ICT-concentratierisico bij kritieke aanbieders.
  • Houd een informatieregister bij van contractuele afspraken met ICT-derde aanbieders.
  • Deel informatie en inlichtingen over cyberdreigingen waar dat passend is.
FAQ

Veelgestelde vragen

Hoe ondersteunt Scrydon DORA-compliance voor financiële entiteiten?+
Scrydon levert de technische fundamenten waar DORA de nadruk op legt: een weerbare, fail-closed, met mTLS beveiligde architectuur voor ICT-risicobeheer, een onveranderlijk audit log voor incidentdetectie en -melding, en soevereine self-hosted implementatie die de afhankelijkheid van één externe aanbieder verkleint. Evidence packs koppelen die aan DORA-thema's. Wij spreken over aansluiting en over de controls die u helpen aan uw verplichtingen te voldoen; het classificeren van incidenten, het melden aan uw bevoegde autoriteit en uw algehele weerbaarheidsprogramma blijven uw verantwoordelijkheid.
Hoe verkleint het platform het concentratierisico bij ICT-derde aanbieders?+
DORA is expliciet over het systeemrisico van een te grote afhankelijkheid van enkele ICT-aanbieders. Omdat Scrydon in uw eigen omgeving of op soevereine infrastructuur kan worden geïmplementeerd in plaats van kritieke workloads vast te zetten bij één hyperscaler, kunt u spreiden en de controle houden over uw belangrijkste AI- en datasystemen. Doordat externe AI-leveranciers opt-in zijn, blijft elke afhankelijkheid van derden expliciet en bestuurbaar.
Helpt Scrydon bij het detecteren en melden van ernstige incidenten?+
Het onveranderlijke, doorzoekbare audit log registreert actor, IP-adres, besluit en agentactiviteit met bewaarcontrols, wat het detecteren, classificeren en onderzoeken van ICT-gerelateerde incidenten ondersteunt en helpt de informatie samen te stellen die u nodig hebt voor rapportage aan de toezichthouder. Het platform levert de traceerbaarheid; de classificatiedrempels en meldingen aan uw bevoegde autoriteit blijven aan u.
Kan Scrydon deel uitmaken van onze testen van digitale operationele weerbaarheid?+
Ja. Omdat het platform draait met reproduceerbare, door beleid bestuurde configuratie op infrastructuur die u beheert, kunt u failover, herstel en toegangscontrols oefenen als onderdeel van uw weerbaarheidstestprogramma, en het opnemen in scenariotesten en continuïteitsplanning.
Is Scrydon een kritieke ICT-derde aanbieder onder DORA?+
De aanwijzing als kritieke ICT-derde aanbieder gebeurt door de Europese toezichthoudende autoriteiten aan de hand van vastgestelde criteria, en wordt niet door een leverancier zelf verklaard. Los van die aanwijzing houdt een soevereine, self-hosted implementatie van Scrydon uw meest kritieke workloads onder uw directe controle en helpt zij u het risico van derden binnen uw DORA-kader te beheersen.