• Utrechtseweg 92, 3702 AD Zeist
Laten we beginnen
  • Utrechtseweg 92, 3702 AD Zeist
Laten we kennismaken
Laten we kennismaken

De jaarlijkse DORA-review: zo pak je het goed aan

DORA legt de lat hoger voor ICT-risicomanagement: organisaties moeten jaarlijks aantonen hoe effectief hun aanpak is. In dit artikel lees je hoe je de DORA-review praktisch inricht en inzet als stuurmiddel voor digitale weerbaarheid.

TL;DR

DORA maakt één ding duidelijk: je ICT-risicomanagement moet aantoonbaar werken. De jaarlijkse review is geen vinkje, maar hét moment om te sturen op effectiviteit. Organisaties die dit goed inrichten, bouwen structureel aan digitale weerbaarheid en houden grip op risico’s. Dit zijn de vijf belangrijkste punten.

  • Verzamel het hele jaar door data (incidenten, audits, tests) en werk vanuit feiten, niet aannames

  • Analyseer gestructureerd per domein en trek eerlijke conclusies over effectiviteit

  • Gebruik bestaande tools (GRC, SIEM) om je review efficiënt en onderbouwd uit te voeren

  • Zorg voor duidelijke scope, eigenaarschap en governance binnen de organisatie

  • Maak van je rapport een actiegericht startpunt en koppel het aan je jaarcyclus

Leestijd: 5 minuten

De jaarlijkse evaluatie van het ICT-risico management framework is een eis die DORA stelt aan financiële entiteiten. Het is dus een verplicht onderdeel van DORA maar dat betekent niet dat je er alleen een papieren exercitie van hoeft te maken. Als je echt weet waar je risico framework wel en niet effectief werkt, zet je deze review in als stuurmiddel. Niet als last-minute taak in december/januari, maar als vast onderdeel van je informatiebeveiligingsjaarcyclus. 

In dit blog lees je hoe je dat aanpakt. Praktisch, gestructureerd en zonder bureaucratisch gedoe. Gericht op eigenaarschap en verbetering. Zo bouw je aan échte digitale weerbaarheid, met grip en vertrouwen. 

Verzamel feiten en relevante informatie – het hele jaar door  

Wacht niet tot het eind van het jaar met data verzamelen. Maak er een doorlopend proces van. DORA verwacht dat financiële instellingen bij de jaarlijkse evaluatie een breed spectrum aan informatiebronnen betrekken, zoals de risicoanalyses, resultaten van interne audits, compliance-controles en weerbaarheidstesten. Begin direct na de vorige review. Bouw een feitendatabase op van alles wat raakt aan ICT-risico’s. 

Denk aan: 

  • Resultaten van control testing: Test regelmatig je belangrijkste beveiligingsmaatregelen. Denk aan pentests op kernapplicaties, scenario-oefeningen voor herstel, of toegangscontroles op je systemen. Leg vast wat daaruit komt én wat je ermee doet. Dan weet je aan het eind van het jaar wat echt werkt – en wat niet. 
  • Incidentrapportages: Gebruik je incidentenregister om te zien wat er binnen het IT-landschap gebeurt. Hoeveel incidenten zijn er? Hoe snel zijn ze opgelost? Welke had impact? Verzamel die feiten. Dan weet je of je detectie en respons écht op niveau zijn. 
  • Rapportages uit derde partijen en audits: Krijg je rapporten van externe partijen? Verzamel ze. Denk aan pentests, audits of bevindingen vanuit bijvoorbeeld SOC-diensten. DORA verwacht dat je ook deze bronnen meeneemt. Ze geven je extra zicht op je kwetsbaarheden – en of je beheersing klopt. 
  • Leveranciers beoordelingen: Door het jaar heen monitor je de prestaties van je kritieke leveranciers op het gebied van informatiebeveiliging. De prestaties van die leveranciers hebben invloed op jouw risico’s.  
  • Gebruik je tools zoals een SIEM of GRC-platform? Laat die continu gegevens verzamelen. Zo creëer je als het ware een “feitendatabase” over je IT-risk posture van het afgelopen jaar. En ben je in december klaar, zonder stress. Je baseert je review op feiten, niet op aannames. 

 

Analyseer en trek eerlijke conclusies

Data op zich zegt niets. Een goede evaluatie vraagt om structuur en inzicht. Gebruik je risico framework als basis en beoordeel per onderdeel hoe volwassen en effectief je aanpak is. 

Kijk naar domeinen als governance, beleid, techniek, incidenten en uitbesteding. Wat is er veranderd sinds vorig jaar? Waar staan we nu? Wat zeggen de cijfers over je preventie, je weerbaarheid, je aanpak? 

  • Zijn er bijvoorbeeld minder incidenten geweest of juist meer? Wat zegt dat over de effectiviteit van preventieve maatregelen? 
  • Hebben audits of tests herhaalde gebreken blootgelegd (signaal dat eerdere verbeteringen niet zijn doorgevoerd of niet werken)? 
  • Zijn er significante wijzigingen in het IT-landschap (nieuwe systemen, cloud-migraties) en zijn de risico-assessments daarop actueel aangepast? 

Breng trends in beeld: verbeter je, of blijf je steken?  

DORA verwacht heldere conclusies over je IT-risicoprofiel. Dus wees concreet: welke maatregelen werken, welke niet? Wat is de impact van wat je hebt gedaan? Dit is waar je de harde data omzet in een verhaal: “Vorig jaar constateerden we tekortkoming X, we hebben toen maatregel Y genomen, en uit de nieuwe cijfers blijkt dat het werkt (of juist niet).” 

Gebruik raamwerken zoals ISO of NIST als toetsing. Of een volwassenheidsschaal. Wees kritisch en eerlijk – ook over wat niet lukt. Juist dat vormt je basis voor verbetering. Een volwassen zelfevaluatie kenmerkt zich door deze grondigheid en transparantie – daarmee onderscheidt hij zich van een oppervlakkige “checklist-review”. 

Zo laat je zien dat je echt grip hebt. En dat je niet evalueert voor de vorm, maar voor de vooruitgang. 

Benut je beveiligingsinformatie- en beheerssystemen voorefficiëntie en aanpak 


Maak je review niet onnodig zwaar. Tools kunnen het proces enorm ondersteunen. En ook bestaande processen kunnen uitkomst bieden. Maak gebruik van hetgeen je al hebt ingericht: 

  • GRC (Governance, Risk & Compliance) tools: gebruik je een GRC-platform? Zet het dan slim in. Leg audits, risico’s en incidenten vast, wijs eigenaren toe en volg acties. Veel tools bieden rapportages waarmee je snel een DORA-review maakt. Richt een self-assessment in en verzamel eenvoudig input vanuit de hele organisatie. 
  • Beveiligingsinformatie- en beheersystemen: systemen zoals bijvoorbeeld een SIEM, ticketingsysteem of logmanagementsysteem verzamelen security-relevante logdata, trendanalyses en key performance indicators. Zoals detectietijd bij phishing of patch-tijd bij kritieke kwetsbaarheden. Gebruik deze tools om door het jaar heen relevante KPI’s te meten. Denk aan patchtijd, detecties, of responstijd op incidenten. Eind van het jaar haal je trendrapporten op. Die geven je review inhoud én onderbouwing richting directie.  
  • Heb je al een ISO27001 certificaat? Integreer de jaarlijkse management review met het verplichte DORA -onderdeel zelfevaluatie ICT-risico framework. Je zal zien dat er ontzettend veel overlap tussen de twee zit. 


Zorg voor duidelijke scope en eigenaarschap

Voor een succesvolle jaarlijkse review, bepaal je wat je gaat evalueren en wie waarvoor verantwoordelijk is. Zo voorkom je dat je belangrijke onderdelen over het hoofd ziet of dat onduidelijkheid bestaat over verantwoordelijkheden en deadlines worden gemist. 

  • Scope: Bepaal vooraf wat je precies gaat evalueren. DORA vraagt om het hele ICT-risicoraamwerk, dus pak je alle kritieke domeinen mee: beveiliging, dreigingen, IT-operations, gegevensbescherming en uitbesteding. Zet ook ondersteunende processen op je lijst, zoals change management en softwareontwikkeling. En kijk verder dan techniek. Ook bewustwording, HR-beleid en fysieke beveiliging horen erbij. Wees compleet en duidelijk. Dan weet iedereen waar hij aan toe is – en voorkom je dat er iets tussen wal en schip valt. 
  • Governance: Leg de jaarlijkse DORA-evaluatie vast binnen de bestaande governance voor risicobeoordeling. Gebruik dezelfde processen waarmee andere risico’s worden geëvalueerd en opgepakt, zodat de beoordeling van het IT-risicomanagementframework geen losstaande activiteit is. Betrek de CISO  of risicomanager om dit te borgen en zorg dat de directie de uitkomsten bespreekt, goedkeurt en de opvolging ondersteunt. Zo wordt DORA onderdeel van het reguliere risicobeheer en blijft eigenaarschap op het hoogste niveau geborgd 
  • Eigenaarschap: Wijs per onderdeel één eigenaar aan. Iemand die de inhoud kent en de verantwoordelijkheid pakt. Denk aan IT voor continuïteit, security voor incidenten, inkoop voor uitbesteding. Zij verzamelen de feiten en schrijven de eerste analyse. De centrale coördinator – vaak de CISO – maakt er één geheel van. Spreek duidelijke deadlines af. Eigenaarschap stopt niet bij het rapport. Diezelfde persoon voert ook de verbeteracties uit. Zo is altijd duidelijk wie waarvoor aan zet is. Geen ruis. Geen losse eindjes. En de tweede lijn? Die leest natuurlijk graag mee.

Maak dit concreet. Met deadlines. Zodat niemand zegt: “Ik dacht dat dit niet bij mij hoorde.” 

Maak van het rapport een startpunt

Na het verzamelen van data en input volgt de rapportage. Die is niet alleen voor intern gebruik – je moet hem ook kunnen overleggen aan de toezichthouder. Zorg dat het rapport volledig en scherp is. Maar belangrijker: maak het actiegericht. Geen eindpunt, maar het startschot voor verbetering. 

Een goed rapport bevat: 

  • Een samenvatting van de hoofdbevindingen 
    Bouw je rapport logisch en duidelijk op. Start met een korte samenvatting voor het bestuur: hoe weerbaar ben je, waar zitten de risico’s, en waar kun je verbeteren? Daarna per domein de bevindingen, onderbouwd met feiten uit je logs, audits en analyses. DORA vraagt om drie dingen: wat is er veranderd sinds vorig jaar, wat is de dreiging nu, en hoe effectief zijn je maatregelen? Sluit af met concrete acties. Benoem ook de voortgang op eerdere verbeterpunten. Wat heb je opgepakt? Wat werkte wel of niet – en waarom? Wees eerlijk. Geen verbloeming, wel verbetering. Zo laat je zien dat je leert en groeit. Jaar op jaar. 
  • Concrete acties en wie die oppakt 
    De review stopt niet bij het rapport. Nu begint het echte werk. Acties moeten uitgevoerd worden – door de mensen die ervoor verantwoordelijk zijn. Verwerk de verbeterpunten in je bestaande (jaar)plannen. Geen losse lijstjes, maar onderdeel van je aanpak. Voorbeeld: wordt het wachtwoordbeleid niet gevolgd? Plan dan een campagne of technische oplossing. Zijn er zwakke plekken in back-up en herstel? Zet dat in je IT-strategie, mét budget en deadlines. Pas dan maak je de cirkel rond. De ‘Act’ in Plan-Do-Act-Check’. Geen papier, maar praktijk. 
  • Status van acties uit eerdere reviews 
    Leg alle verbeteracties goed vast. Volgend jaar wil je kunnen laten zien wat je ermee hebt gedaan. DORA vraagt daar ook expliciet om: terugkijken, leren, verbeteren. Gebruik een actie-tracker in je GRC-tool of planningstool. Zet daar alle aanbevelingen in, met eigenaar en deadline. Bespreek de voortgang maandelijks, bijvoorbeeld in het risk-comité. Zo houd je tempo, focus en resultaat. Alleen dan groeit je organisatie écht in digitale weerbaarheid. 
  • Zorg dat je rapport begrijpelijk is. Deel de uitkomsten niet alleen met de directie of IT, maar ook met alle betrokken teams. Organiseer één sessie waar iedereen feedback kan geven. Vraag om feedback. Laat zien dat input van het hele jaar ertoe doet.  

Zo vergroot je het draagvlak én laat je zien dat ieders inzet telt. Het versterkt het besef: digitale weerbaarheid bouw je samen, niet van bovenaf.  

Plan strak en koppel aan je jaarcyclus

Veel organisaties starten te laat. Dan wordt de review een haastklus. En dat zie je terug in de kwaliteit. Voorkom dit met strakke planning en duidelijke communicatie. Begin op tijd. En neem iedereen mee.  

Maak van de DORA-review een vast onderdeel van je jaarplanning. Bijvoorbeeld: 

  • Jaarplanning: Plan de DORA-review vroeg in het jaar in. Prik een vaste periode, bijvoorbeeld oktober. Dan heb je in november je inzichten op tijd voor de jaarplannen. Werk met kwartaalmijlpalen: Q1 scope en planning, Q2/Q3 dataverzameling en deelreviews, Q4 rapportage. Zo voorkom je eindjaarsdrukte. 
  • Afstemmen met bestaande cycli: Koppel de review aan wat er al is. Bijvoorbeeld je risicomanagement- of informatiebeveiligingscyclus. Plan de DORA-review vóór je begroting of strategische sessie. Dan kunnen je bevindingen direct mee in de besluitvorming. Zo wordt het stuurinformatie – geen losse compliance-actie. 
  • Stakeholderscommunicatie: Betrek alle stakeholders op tijd. Niet alleen IT en security, maar ook afdelingshoofden, MT en audit. Leg uit waarom de review belangrijk is: het verhoogt je weerbaarheid én je voldoet aan de wet. Wees duidelijk over wat je van wie nodig hebt, en wanneer. Zo voorkom je ruis en krijg je betere input. Zo’n heads-up zorgt ervoor dat niemand voor verrassingen komt te staan. 

Extern overleg: Ook al is het een zelfevaluatie, je kunt externe partijen betrekken. Denk aan DNB of AFM. Sommige organisaties delen hun samenvatting vrijwillig in toezichthoudergesprekken. Dat wekt vertrouwen. Dat laat zien dat je niets te verbergen hebt.  

Ook kennis delen met branchegenoten kan waardevol zijn: hoe pakken zij het aan?  

Als je strak plant en duidelijk communiceert, wordt de DORA-review vanzelf onderdeel van je jaarcyclus. Net zo gewoon als je financiële afsluiting of functioneringsgesprekken. Precies daar wil je naartoe: digitale weerbaarheid die je zélf stuurt – niet iets wat je overkomt. 

Neem de regie. Word zelf de norm 

De jaarlijkse review is geen last. Het is jouw kans om het verschil te maken. Laat DORA geen externe druk zijn, maar een intern stuurmiddel. Richt het goed in. Wees scherp. En bovenal: wees eerlijk. 

Met dit stappenplan bouw je aan een stevige routine. Dat vraagt tijd en inzet. Maar je krijgt er iets voor terug: een organisatie die cyberdreigingen aankan en vertrouwen uitstraalt – naar klanten, collega’s en toezichthouders. 

Als CISO, CIO of risicomanager heb jíj de sleutel in handen. Zet digitale weerbaarheid hoog op de agenda, organiseer de zelfevaluatie met scherpte en visie, en toon leiderschap. Wacht niet tot een auditor wijst op wat ontbreekt. Loop vooruit. Verbeter continu. Overtref de norm, in plaats van nét te voldoen. 

DORA geeft het minimum. Jij maakt het verschil. 

Meer weten?

Meer weten over de implementatie van dit stappenplan? Weet ons te vinden! Wij denken graag met je mee. 

 

 

Wil je weten hoe Beyond Ideas jouw organisatie verder kan helpen?

Neem contact op
Foto van Eline van Dam

Eline van Dam

Voor Eline draait security niet om het naleven van regels, maar om het begrijpen van hun bedoeling. Als security consultant helpt ze organisaties om wet- en regelgeving zoals NIS2 en DORA te vertalen naar een werkbare praktijk die écht bijdraagt aan veiligheid en veerkracht. Ze combineert strategisch inzicht met technische kennis en weet complexe kaders te vertalen naar maatregelen die echt effect hebben.

Gerelateerde artikelen

Maak kennis met Maarten Willemse

Eind jaren ’80 leerde hij zichzelf programmeren op een kleine Olivetti-computer. Tegenwoordig helpt Maarten Willemse organisaties bij complexe vraagstukken op

Lees verder
Maarten Willemse 22 april 2026