HomeBlog DORA uitgelegd: wat is het en waarom is ...
Leestijd: 5 minuten

DORA uitgelegd: wat is het en waarom is het relevant voor event software?

In alle sectoren volgen digitale ontwikkelingen elkaar in een rap tempo op. Ook in de financiële sector. IT-oplossingen zijn allang geen ondersteunende hulpmiddelen meer, maar vormen het fundament onder diverse vaste processen, van transacties tot evenementen. Dit geeft een scala aan mogelijkheden, maar kan ook zorgen voor meer kwetsbaarheid. Daarom heeft de Europese Unie de DORA-wetgeving in het leven geroepen.  

Met DORA wordt digitale weerbaarheid een vereiste. Financiële organisaties moeten aantoonbaar grip hebben op hun IT-landschap én de softwarepartners waarmee zij samenwerken. Ook eventsoftware speelt hierin een rol. Digitale weerbaarheid stopt namelijk niet bij kernsystemen: events maken deel uit van het bredere digitale landschap.

Maar wat houdt DORA precies in? En waarom is het verstandig om hier bij events toch rekening mee te houden? Dit, en meer, leggen we uit in dit artikel. 

Wat is de DORA-wetgeving? 

DORA staat voor de Digital Operational Resilience ACT. De DORA is al in 2023 in werking getreden, maar sinds 17 januari 2025 is ‘volledige compliance met DORA en Regulatory Technical Standards’ vereist. Zoals hierboven uitgelegd, is het doel van DORA dat de financiële sector weerbaarder / robuuster wordt tegen cyberdreigingen. De Autoriteit Financiële Markten en de De Nederlandsche Bank houden hier toezicht op. 

De DORA-wetgeving is in brede zin toepasbaar op de financiële sector. Organisaties waarop dit van toepassing is variëren van betalingsinstellingen tot aanbieders van crowdfunding diensten en van crypto aanbieders tot verzekeringsorganisaties. Ook is het van toepassing op aanbieders van ICT-diensten die leveren aan financiële organisaties (waarbij er wel onderscheid wordt gemaakt tussen kritieke en niet-kritieke ICT-diensten). Bij kritieke diensten krijgen de ICT leveranciers te maken met direct toezicht, wat betekent dat zij zich ook aan de normen moeten houden. 
 

Wat is de DORA-wetgeving? 

Events worden meestal niet gezien als bedrijfskritische processen. Maar dat betekent niet dat ze compleet los staan van het IT-landschap van je financiële organisatie. Ook bij evenementen wordt gewerkt met data en daarom is aan te raden dat deze systemen en software aan duidelijke veiligheidseisen voldoen.

Met eventsoftware verwerk je onder andere:

    • persoonsgegevens van deelnemers, sprekers en VIPs

    • betalingsgegevens voor tickets of facturatie

    • data die via koppelingen wordt gedeeld met CRM- en marketingsystemen

Daarnaast werk je vaak samen met meerdere interne en externe mensen aan je event, en dus ook binnen je software. Die combinatie, veel data en veel gebruikers, zorgt ervoor dat je ook hier wil kijken of je event software ook aan de DORA-eisen voldoet. 

Digitale veiligheid en compliance

Wil je meer weten over hoe wij omgaan met digitale veiligheid en compliance? Van regelgeving zoals AVG en GDPR tot certificeringen en verklaringen zoals ISO 27001 en SOC 2 Type II - je vind het op deze pagina. 

Meer lezen

Wat zijn de eisen voor leveranciers? 

De DORA wordt opgedeeld in vijf pijlers. Elk van deze pijlers is van belang om de weerbaarheid - en robuustheid - van je financiële organisatie te vergroten. Dit zijn: 

  • ICT risicomanagement: inzicht in de ICT systemen met risico’s, wat deze zijn en hoe ze voorkomen kunnen worden. 

  • Incidentmanagement: Gaat er iets mis? Dan weet je ieders rol, hoe snel er wordt gehandeld en wanneer dit wordt gemeld.

  • Weerbaarheidstesten: Er wordt regelmatig getest of de systemen bestand zijn tegen verstoringen, bijvoorbeeld via audits of security tests. Ookwel de operationele weerbaarheid. 

  • Derde ICT-aanbieders risicomanagement: vergelijkbaar als regulier risicomanagement, maar dan met focus op externe ICT-leveranciers. 

  • Informatie uitwisseling: organisaties die onder de DORA vallen worden aangemoedigd om informatie en kennis omtrent cyber bedreigingen en kwetsbaarheden met elkaar te delen, mits er goede afspraken over zijn gemaakt.  

Waar kun je bij event software opletten? 

DORA vraagt niet om meer regels, maar vraagt wel om meer grip en weerbaarheid. Bij het selecteren van eventsoftware kun je letten op een paar praktische zaken:

  • Certificeringen: Beschikt de leverancier over erkende certificeringen, zoals ISO 27001 of een SOC 2-verklaring? Dat laat zien dat beveiliging en processen aantoonbaar structureel zijn ingericht.

  • Beveiligingstests: Wordt de software regelmatig getest, bijvoorbeeld via pentests, audits, white hat hackers etc?

  • Incident response: Is er een duidelijk incident response beleid? En zijn er afspraken over hoe en wanneer de leverancier reageert bij een incident?

  • Documentatie & afspraken: Biedt de leverancier duidelijke documentatie, zoals een verwerkersovereenkomst (DPA), waarin verantwoordelijkheden en dataverwerking zijn vastgelegd?

  • Rollen en rechten: Kun je binnen de software zelf bepalen wie toegang heeft tot welke data en functionaliteiten?

"Door te werken volgens erkende standaarden, zoals SOC 2, weten klanten dat we zorgvuldig met hun data omgaan. Sommige klanten vragen hier expliciet om. Dat begrijpen we. Het helpt hen om met vertrouwen te werken met externe softwarepartners.”

Stef van der Zon

Security Officer | aanmelder.nl

Square Avatar - Stef - 400x516

DORA vs andere wetgeving

We kennen natuurlijk meer wetgeving die tot stand is gekomen om rekening te houden met verschillende digitale risico’s. Zo is de GDPR (General Data Protection Regulation) inmiddels een breed begrip. Bij deze wetgeving draait het vooral om de privacy van personen met als doel om consumenten te beschermen.

Kernvragen in verband met de GDPR:

  • Welke persoonsgegevens verwerk je?

  • Mag je die gegevens verwerken?

  • Kunnen mensen hun rechten uitoefenen (bijvoorbeeld voor inzage, verwijdering of correctie)?

De DORA daarentegen kijkt meer naar organisaties. Hoe zorg je ervoor dat je IT-systemen betrouwbaar blijven, zelfs als er iets misgaat?

Voorbeeldvragen hier zijn:

  • Hoe robuust is je IT-landschap?

  • Kun je incidenten voorkomen, opvangen en herstellen?

  • Kun je aantonen dat dit structureel goed is ingericht?

Hoe Event Management je hierbij kan helpen.

Meer informatie? 

Digitale weerbaarheid hoeft niet altijd voor extra zorgen te zorgen. Bij aanmelder.nl is veiligheid daarom geen vinkje, maar een doorlopend proces. We vinden het belangrijk om transparant te zijn over hoe we omgaan met digitale weerbaarheid, onze certificeringen en afspraken. Niet omdat evenementen bedrijfskritisch zijn, maar omdat ze wel onderdeel uitmaken van een groter, zorgvuldig ingericht IT-landschap.

Wil je weten hoe wij omgaan met digitale weerbaarheid of heb je vragen ontvangen vanuit je IT of security afdeling? Neem gerust contact met ons op. Wij denken graag met je mee!

Ontdek Event Management voor IT-teams