DORA Penetratietest Vereisten
De Digital Operational Resilience Act (DORA) is de EU-verordening die uniforme eisen stelt aan de beveiliging van netwerk- en informatiesystemen in de financiële sector. DORA is van toepassing sinds 17 januari 2025, en penetratietesten staat centraal in de weerbaarheidsverplichtingen.
Deze gids legt uit wat DORA vereist voor penetratietests, hoe dreigingsgestuurde penetratietesten (TLPT) werkt onder artikelen 26 en 27, wie binnen de reikwijdte valt, en hoe Budget Security opdrachten levert die klaar zijn voor toetsing door de toezichthouder.
Wat DORA vereist voor weerbaarheidstests
DORA rust op vijf pijlers: ICT-risicobeheer, incidentrapportage, testen van digitale operationele weerbaarheid, beheer van ICT-risico's van derden, en informatiedeling. De derde pijler (hoofdstuk IV, artikelen 24 tot en met 27) maakt penetratietesten tot een directe wettelijke verplichting voor financiële entiteiten:
Artikel 24 - Testprogramma
Vereist een gedegen, uitgebreid testprogramma voor digitale operationele weerbaarheid voor ICT-tools en systemen die kritieke of belangrijke functies ondersteunen
Artikel 25 - Testmethoden
Noemt expliciet kwetsbaarheidsbeoordelingen, scans en penetratietests als vereiste tests, ten minste jaarlijks op kritieke systemen
Artikelen 26-27 - TLPT
Verplicht geavanceerde dreigingsgestuurde penetratietests voor significante entiteiten, gebaseerd op het TIBER-EU-raamwerk, ten minste eens per drie jaar
Onafhankelijkheid van testers
Tests moeten worden uitgevoerd door onafhankelijke, gekwalificeerde partijen, gescheiden van de teams die de systemen bouwen en beheren
Toezichthouders verwachten dat financiële entiteiten gedocumenteerd bewijs hebben dat dit testprogramma is ingericht en effectief is. Een recent penetratietest-rapport, gekoppeld aan de systemen die uw kritieke functies ondersteunen, is een van de sterkste bewijsstukken die u kunt overleggen.
Dreigingsgestuurde penetratietesten (TLPT) onder DORA
Voor financiële entiteiten die als significant zijn aangemerkt, gaat DORA verder dan standaard penetratietesten en vereist het dreigingsgestuurde penetratietesten. TLPT simuleert een echte, intelligence-gestuurde aanval op live productiesystemen:
Artikel 26 - Geavanceerde testverplichting
Significante financiële entiteiten moeten ten minste eens per drie jaar dreigingsgestuurde penetratietests uitvoeren. De test bestrijkt meerdere of alle kritieke of belangrijke functies en wordt uitgevoerd op live productiesystemen, waarbij nauwkeurig wordt nagebootst hoe een echte aanvaller te werk zou gaan.
Aansluiting op TIBER-EU
De TLPT-vereisten van DORA zijn gebaseerd op het TIBER-EU-raamwerk. Tests gebruiken dreigingsinformatie om realistische aanvalsscenario's te ontwerpen, waarbij verkenning, exploitatie en laterale beweging worden gecombineerd tegen de mensen, processen en technologie van de entiteit.
Eisen aan testers
TLPT moet worden uitgevoerd door testers met aantoonbare expertise in dreigingsinformatie en offensieve beveiliging, die voldoen aan de onafhankelijkheids- en competentiecriteria van DORA. Bevindingen vloeien direct terug in het ICT-risicobeheer en de herstelprocessen van de entiteit.
DORA reikwijdte en testtijdlijn
Weten of u binnen de reikwijdte valt, en welk testniveau van toepassing is, bepaalt hoe u uw penetratietestprogramma plant:
Wie valt binnen de reikwijdte
Banken, betaal- en elektronischgeldinstellingen, beleggingsondernemingen, verzekeraars, aanbieders van cryptoactivadiensten en andere financiële entiteiten in de EU, plus hun kritieke ICT-dienstverleners.
Standaard testniveau
Alle entiteiten binnen de reikwijdte moeten ten minste jaarlijks kwetsbaarheidsbeoordelingen en penetratietests uitvoeren op ICT-systemen die kritieke of belangrijke functies ondersteunen.
Geavanceerd niveau (TLPT)
Entiteiten die door hun bevoegde autoriteit als significant zijn aangemerkt, moeten daarnaast ten minste eens per drie jaar dreigingsgestuurde penetratietests uitvoeren.
Bewijs en toetsing
DORA is van toepassing sinds 17 januari 2025. Entiteiten moeten testresultaten, herstelplannen en validatiebewijs bewaren voor toetsing door de toezichthouder.
Ook als uw entiteit niet als significant is aangemerkt, is een sterk jaarlijks penetratietestprogramma de basislijn die DORA verwacht, en het fundament waarop u voortbouwt als u later binnen de reikwijdte van TLPT valt.
Hoe Budget Security u helpt te voldoen aan DORA
Budget Security levert penetratietesten die zijn opgebouwd voor financiële entiteiten die werken aan de weerbaarheidsverplichtingen van DORA. Via ons platform bepaalt u de scope en start u opdrachten op uw eigen tijdlijn, vanaf 849 euro per testdag.
Scope rond uw kritieke functies
Gebruik onze online scoping-tool om te bepalen welke applicaties, netwerken en API's uw kritieke of belangrijke functies ondersteunen, zodat de test precies dekt wat DORA belangrijk vindt.
Testen door gekwalificeerde security engineers
Onze testers beschikken over erkende offensieve beveiligingscertificeringen (OSCP, OSWE) en volgen OWASP-, PTES- en NIST SP 800-115-methodologieën die aansluiten op DORA en TIBER-EU.
Rapportage klaar voor de toezichthouder
Elk rapport koppelt bevindingen aan de systemen die uw kritieke functies ondersteunen, met CVSS v3.1-scores, bewijs van exploitatie en herstelstappen, opgemaakt voor toetsing door de toezichthouder.
Herstelopvolging en hertesten
Volg de voortgang van herstel via ons kwetsbaarheidsdashboard. Na herstel testen we opnieuw om te bevestigen dat problemen zijn opgelost, zodat u de toezichthouder gedocumenteerd bewijs van weerbaarheid geeft.
Vraag uw DORA pentest-offerte aan
Zie precies wat uw DORA-conforme penetratietest zou kosten. Rapporten koppelen bevindingen aan de systemen die uw kritieke functies ondersteunen, zodat toezichthouders het bewijs kunnen herleiden tot uw testprogramma voor weerbaarheid.