Naar inhoud
    Verordening (EU) 2022/2554
    ·Door Budget Security

    DORA Penetratietest Vereisten

    De Digital Operational Resilience Act (DORA) is de EU-verordening die uniforme eisen stelt aan de beveiliging van netwerk- en informatiesystemen in de financiële sector. DORA is van toepassing sinds 17 januari 2025, en penetratietesten staat centraal in de weerbaarheidsverplichtingen.

    Deze gids legt uit wat DORA vereist voor penetratietests, hoe dreigingsgestuurde penetratietesten (TLPT) werkt onder artikelen 26 en 27, wie binnen de reikwijdte valt, en hoe Budget Security opdrachten levert die klaar zijn voor toetsing door de toezichthouder.

    Wat DORA vereist voor weerbaarheidstests

    DORA rust op vijf pijlers: ICT-risicobeheer, incidentrapportage, testen van digitale operationele weerbaarheid, beheer van ICT-risico's van derden, en informatiedeling. De derde pijler (hoofdstuk IV, artikelen 24 tot en met 27) maakt penetratietesten tot een directe wettelijke verplichting voor financiële entiteiten:

    Artikel 24 - Testprogramma

    Vereist een gedegen, uitgebreid testprogramma voor digitale operationele weerbaarheid voor ICT-tools en systemen die kritieke of belangrijke functies ondersteunen

    Artikel 25 - Testmethoden

    Noemt expliciet kwetsbaarheidsbeoordelingen, scans en penetratietests als vereiste tests, ten minste jaarlijks op kritieke systemen

    Artikelen 26-27 - TLPT

    Verplicht geavanceerde dreigingsgestuurde penetratietests voor significante entiteiten, gebaseerd op het TIBER-EU-raamwerk, ten minste eens per drie jaar

    Onafhankelijkheid van testers

    Tests moeten worden uitgevoerd door onafhankelijke, gekwalificeerde partijen, gescheiden van de teams die de systemen bouwen en beheren

    Toezichthouders verwachten dat financiële entiteiten gedocumenteerd bewijs hebben dat dit testprogramma is ingericht en effectief is. Een recent penetratietest-rapport, gekoppeld aan de systemen die uw kritieke functies ondersteunen, is een van de sterkste bewijsstukken die u kunt overleggen.

    Dreigingsgestuurde penetratietesten (TLPT) onder DORA

    Voor financiële entiteiten die als significant zijn aangemerkt, gaat DORA verder dan standaard penetratietesten en vereist het dreigingsgestuurde penetratietesten. TLPT simuleert een echte, intelligence-gestuurde aanval op live productiesystemen:

    Artikel 26 - Geavanceerde testverplichting

    Significante financiële entiteiten moeten ten minste eens per drie jaar dreigingsgestuurde penetratietests uitvoeren. De test bestrijkt meerdere of alle kritieke of belangrijke functies en wordt uitgevoerd op live productiesystemen, waarbij nauwkeurig wordt nagebootst hoe een echte aanvaller te werk zou gaan.

    Aansluiting op TIBER-EU

    De TLPT-vereisten van DORA zijn gebaseerd op het TIBER-EU-raamwerk. Tests gebruiken dreigingsinformatie om realistische aanvalsscenario's te ontwerpen, waarbij verkenning, exploitatie en laterale beweging worden gecombineerd tegen de mensen, processen en technologie van de entiteit.

    Eisen aan testers

    TLPT moet worden uitgevoerd door testers met aantoonbare expertise in dreigingsinformatie en offensieve beveiliging, die voldoen aan de onafhankelijkheids- en competentiecriteria van DORA. Bevindingen vloeien direct terug in het ICT-risicobeheer en de herstelprocessen van de entiteit.

    DORA reikwijdte en testtijdlijn

    Weten of u binnen de reikwijdte valt, en welk testniveau van toepassing is, bepaalt hoe u uw penetratietestprogramma plant:

    Wie valt binnen de reikwijdte

    Banken, betaal- en elektronischgeldinstellingen, beleggingsondernemingen, verzekeraars, aanbieders van cryptoactivadiensten en andere financiële entiteiten in de EU, plus hun kritieke ICT-dienstverleners.

    Standaard testniveau

    Alle entiteiten binnen de reikwijdte moeten ten minste jaarlijks kwetsbaarheidsbeoordelingen en penetratietests uitvoeren op ICT-systemen die kritieke of belangrijke functies ondersteunen.

    Geavanceerd niveau (TLPT)

    Entiteiten die door hun bevoegde autoriteit als significant zijn aangemerkt, moeten daarnaast ten minste eens per drie jaar dreigingsgestuurde penetratietests uitvoeren.

    Bewijs en toetsing

    DORA is van toepassing sinds 17 januari 2025. Entiteiten moeten testresultaten, herstelplannen en validatiebewijs bewaren voor toetsing door de toezichthouder.

    Ook als uw entiteit niet als significant is aangemerkt, is een sterk jaarlijks penetratietestprogramma de basislijn die DORA verwacht, en het fundament waarop u voortbouwt als u later binnen de reikwijdte van TLPT valt.

    Hoe Budget Security u helpt te voldoen aan DORA

    Budget Security levert penetratietesten die zijn opgebouwd voor financiële entiteiten die werken aan de weerbaarheidsverplichtingen van DORA. Via ons platform bepaalt u de scope en start u opdrachten op uw eigen tijdlijn, vanaf 849 euro per testdag.

    1

    Scope rond uw kritieke functies

    Gebruik onze online scoping-tool om te bepalen welke applicaties, netwerken en API's uw kritieke of belangrijke functies ondersteunen, zodat de test precies dekt wat DORA belangrijk vindt.

    2

    Testen door gekwalificeerde security engineers

    Onze testers beschikken over erkende offensieve beveiligingscertificeringen (OSCP, OSWE) en volgen OWASP-, PTES- en NIST SP 800-115-methodologieën die aansluiten op DORA en TIBER-EU.

    3

    Rapportage klaar voor de toezichthouder

    Elk rapport koppelt bevindingen aan de systemen die uw kritieke functies ondersteunen, met CVSS v3.1-scores, bewijs van exploitatie en herstelstappen, opgemaakt voor toetsing door de toezichthouder.

    4

    Herstelopvolging en hertesten

    Volg de voortgang van herstel via ons kwetsbaarheidsdashboard. Na herstel testen we opnieuw om te bevestigen dat problemen zijn opgelost, zodat u de toezichthouder gedocumenteerd bewijs van weerbaarheid geeft.

    Vraag uw DORA pentest-offerte aan

    Zie precies wat uw DORA-conforme penetratietest zou kosten. Rapporten koppelen bevindingen aan de systemen die uw kritieke functies ondersteunen, zodat toezichthouders het bewijs kunnen herleiden tot uw testprogramma voor weerbaarheid.

    Veelgestelde vragen over DORA penetratietesten

    Verplicht DORA een penetratietest?
    Ja. De Digital Operational Resilience Act (Verordening (EU) 2022/2554) verplicht financiële entiteiten om een testprogramma voor digitale operationele weerbaarheid uit te voeren dat expliciet kwetsbaarheidsbeoordelingen en penetratietests omvat op ICT-systemen die kritieke of belangrijke functies ondersteunen, ten minste eenmaal per jaar. Significante entiteiten moeten daarnaast geavanceerde dreigingsgestuurde penetratietests (TLPT) uitvoeren.
    Wat is dreigingsgestuurde penetratietesten (TLPT) onder DORA?
    TLPT is een geavanceerde, intelligence-gestuurde vorm van penetratietesten die vereist is onder DORA-artikelen 26 en 27. Het simuleert de tactieken, technieken en procedures van echte aanvallers tegen de live productiesystemen van een financiële entiteit. Het is gebaseerd op het TIBER-EU-raamwerk en moet ten minste eens per drie jaar worden uitgevoerd door testers die aan strikte onafhankelijkheids- en competentie-eisen voldoen.
    Wie moet voldoen aan de testvereisten van DORA?
    DORA is van toepassing op een breed scala aan financiële entiteiten in de EU, waaronder banken, betaalinstellingen, beleggingsondernemingen, verzekeraars, aanbieders van cryptoactivadiensten en hun kritieke ICT-dienstverleners. Het basistestprogramma geldt voor alle entiteiten binnen de reikwijdte; de geavanceerde TLPT-verplichting geldt voor entiteiten die door toezichthouders als significant zijn aangemerkt op basis van hun systeemrelevantie en risicoprofiel.
    Sinds wanneer is DORA van toepassing?
    DORA is op 16 januari 2023 in werking getreden en is van toepassing sinds 17 januari 2025. Van financiële entiteiten wordt nu verwacht dat zij een gedocumenteerd testprogramma voor weerbaarheid hebben ingericht, met bewijs van penetratietests beschikbaar voor toetsing door de toezichthouder.
    Hoe vaak vereist DORA een penetratietest?
    Het algemene testprogramma voor weerbaarheid, inclusief kwetsbaarheidsbeoordelingen en penetratietests op kritieke ICT-systemen, moet ten minste jaarlijks worden uitgevoerd. Dreigingsgestuurde penetratietests (TLPT) voor significante entiteiten moeten ten minste eens per drie jaar worden uitgevoerd, of vaker wanneer het risicoprofiel van de entiteit dat vereist.
    Wat kost een DORA penetratietest bij Budget Security?
    Een DORA-conforme penetratietest bij Budget Security begint vanaf 849 euro per testdag. De totale kosten hangen af van het aantal applicaties, netwerksegmenten en API's dat uw kritieke functies ondersteunt. Via onze kostencalculator ontvangt u een schatting op maat voor de systemen binnen uw DORA-testscope.