Responsible AI Platform
🏦 DORA × AI Act

DORA & AI Act

Digitale weerbaarheid en kunstmatige intelligentie in de financiële sector

Zahed AshkaraBijgewerkt: juni 2026~13 min leestijd

Waarom banken en verzekeraars DORA én de AI Act tegelijk moeten aanpakken

Financiële instellingen — banken, verzekeraars, beleggingsondernemingen, betalingsdienstverleners — opereren al jaren onder strikte toezichtregimes. Toch introduceert de combinatie van DORA en de AI Act een nieuw compliance-vraagstuk dat veel compliance-teams onderschatten: de twee verordeningen stellen overlappende eisen op precies dezelfde systemen.

DORA (Verordening (EU) 2022/2554) regelt de digitale operationele weerbaarheid van financiële entiteiten en is sinds 17 januari 2025 volledig van kracht. De AI Act regelt de ontwikkeling en het gebruik van AI-systemen en is gefaseerd van toepassing. Waar ze elkaar raken is niet toevallig: AI-systemen die financiële beslissingen nemen — kredietscoring, fraudedetectie, handelsalgoritmen — zijn tegelijkertijd ICT-systemen onder DORA en hoog-risico AI-systemen onder de AI Act.

De organisaties die dit als twee aparte trajecten behandelen, lopen dubbel risico: naleving van de ene verordening zonder oog voor de andere creëert compliance-gaten. De meest efficiënte aanpak is een geïntegreerd kader dat beide wettelijke vereisten tegelijkertijd adresseert.

Wat is DORA?

De Digital Operational Resilience Act (DORA) is een EU-verordening die specifiek is opgesteld voor de financiële sector. Ze verplicht banken, verzekeraars, beleggingsondernemingen, centrale tegenpartijen, betalingsinstellingen en andere financiële entiteiten om hun ICT-risicobeheer op een uniforme en aantoonbare manier in te richten. DORA is geen richtlijn die ruimte laat voor nationale omzetting — ze is rechtstreeks van toepassing in alle EU-lidstaten.

De verordening rust op vijf pijlers: ICT-risicobeheer (de interne governance en beheersmaatregelen), incidentrapportage (verplichte melding van grote ICT-gerelateerde incidenten), digitale weerbaarheidstests (penetratietests en op dreigingen gebaseerde tests voor systeemkritische instellingen), beheersing van risico's van derde aanbieders (due diligence en contractuele vereisten voor outsourcing) en informatie-uitwisseling over cyberdreigingen tussen financiële instellingen.

DORA is van toepassing op meer dan 22.000 financiële entiteiten in de EU. De nationale toezichthouders — in Nederland DNB en de AFM — zijn verantwoordelijk voor het toezicht. Voor de grootste en systeemkritische instellingen gelden aanvullende eisen, waaronder verplichte threat-led penetration tests (TLPT) elke drie jaar.

De 5 kruispunten van DORA en AI Act

Hieronder beschrijven we de vijf concrete punten waar DORA en de AI Act samenkomen. Bij elk kruispunt leggen we uit welke verplichtingen van toepassing zijn, welke artikelen relevant zijn, en wat dit concreet betekent voor de compliance-aanpak van financiële instellingen.

01

ICT-risicobeheer en AI-risicomanagement

DORA Art. 6-16 × AI Act Art. 9

DORA verplicht financiële entiteiten tot een volledig ICT-risicobeheerskader: beleid, procedures, protocollen en hulpmiddelen om ICT-risico te identificeren, te classificeren en te beheersen. Artikel 6 stelt vast dat de raad van bestuur eindverantwoordelijkheid draagt. Artikel 8 verplicht tot continue monitoring van ICT-kwetsbaarheden. Artikel 16 vereist dat kleinere entiteiten een vereenvoudigd maar aantoonbaar risicobeheerskader hanteren.

AI Act Artikel 9 verplicht aanbieders van hoog-risico AI-systemen tot een risicomanagementproces dat gedurende de gehele levenscyclus van het systeem wordt bijgehouden. Dit risicomanagement omvat identificatie, analyse en mitigatie van risico's voor gezondheid, veiligheid en grondrechten. Voor financiële instellingen die AI-systemen inzetten voor kredietverlening, fraudedetectie of vermogensbeheer, zijn beide kaders van toepassing op hetzelfde systeem. Het risicomanagementproces van Art. 9 AI Act en het ICT-risicobeheerskader van DORA moeten op elkaar aansluiten — of, beter nog, worden geïntegreerd in één samenhangend framework.

Praktisch: Praktisch: documenteer elk AI-systeem voor financiële besluitvorming zowel als ICT-asset (DORA-risicoregister) als als hoog-risico AI-systeem (AI Act technisch dossier). Gebruik hetzelfde risicobeheersingsproces als basis voor beide, en voeg laag-specifieke elementen toe waar vereist.

02

Incidentrapportage: dubbele meldplicht

DORA Art. 19 × AI Act Art. 62

DORA Artikel 19 verplicht financiële entiteiten tot het classificeren en rapporteren van grote ICT-gerelateerde incidenten. De classificatie vindt plaats aan de hand van criteria zoals de duur van de verstoring, het aantal getroffen cliënten, de financiële impact en de reputatieschade. Grote incidenten moeten worden gemeld aan de bevoegde toezichthouder — in Nederland DNB voor banken en verzekeraars — met een initiële melding binnen 4 uur, een tussenbericht binnen 72 uur en een eindrapport binnen een maand.

AI Act Artikel 62 introduceert een vergelijkbare maar bredere meldplicht: aanbieders van hoog-risico AI-systemen moeten ernstige incidenten — waarbij het AI-systeem een risico vormt voor leven, veiligheid of grondrechten — melden aan de markttoezichthouder. Voor financiële AI-systemen die als hoog-risico worden geclassificeerd, kan een AI-incident tegelijkertijd een ICT-incident zijn. Denk aan een defect fraudedetectiesysteem dat legitieme klantbetalingen blokkeert of een kredietscoringsmodel dat onjuiste beslissingen neemt door een data-anomalie. Zulke incidenten activeren meldverplichtingen onder beide verordeningen gelijktijdig, met verschillende tijdvensters en verschillende ontvangers.

Praktisch: Praktisch: breid het DORA-incidentbeheersproces expliciet uit met een AI-toets. Bij elk ICT-incident waarbij een AI-systeem betrokken is, moet de compliance-afdeling beoordelen of het ook een ernstig incident is onder Art. 62 AI Act. Stel gecombineerde meldsjablonen op en leg vast welke toezichthouder welke melding ontvangt.

03

Derde partijen: AI-aanbieders als kritieke ICT-leveranciers

DORA Art. 28-30 × AI Act leveranciersverplichtingen

DORA besteedt bijzondere aandacht aan uitbesteding en het gebruik van derde aanbieders van ICT-diensten. Artikel 28 verplicht financiële entiteiten tot een strategie voor het beheer van ICT-risico's van derde aanbieders. Artikel 29 stelt eisen aan het due diligence-proces. Artikel 30 bevat een uitgebreide lijst van verplichte contractbepalingen: het recht op audittogang, verwerkingslocaties, serviceniveaus, beschikbaarheid van data, exitstrategieën en — cruciaal — beschikbaarheid van informatie over de ICT-beveiliging van de aanbieder.

Wanneer een financiële instelling een AI-systeem betrekt van een externe aanbieder — een cloud-gebaseerd kredietscoringsmodel, een SaaS-fraudedetectieplatform, een AI-gedreven vermogensbeheermodule — dan is die aanbieder tegelijkertijd een ICT-derde partij onder DORA en een aanbieder van hoog-risico AI onder de AI Act. De AI Act legt aanbieders verplichtingen op rond technische documentatie, EU-conformiteitsbeoordeling, CE-markering en post-market monitoring. Financiële instellingen die deployer zijn, moeten zich ervan vergewissen dat hun AI-leveranciers aan deze AI Act-vereisten voldoen — naast de DORA-contractvereisten. Dit betekent in de praktijk: de DORA due diligence-checklist voor ICT-leveranciers uitbreiden met AI Act-specifieke vragen over technisch dossier, conformiteitsverklaring en incidentmelding.

Praktisch: Praktisch: voeg aan alle nieuwe en te verlengen contracten met AI-leveranciers een AI Act-clausule toe. Eis bewijs van conformiteit met Hoofdstuk III AI Act (technisch dossier, EU-conformiteitsverklaring, registratie in de EU-database). Combineer deze controle met de DORA-auditrechten zodat je één geïntegreerd vendor assessment uitvoert.

04

Testen en weerbaarheid

DORA TLPT × AI Act Art. 9 testverplichtingen

DORA schrijft uitgebreide testprogramma's voor. Artikel 24 verplicht financiële entiteiten tot jaarlijkse basisweerbaarheidstests (vulnerability assessments, penetratietests op basis van open bronnen). Artikel 26 verplicht de meest systeemkritische instellingen tot Threat-Led Penetration Tests (TLPT) elke drie jaar. TLPT zijn gestandaardiseerde, door toezichthouders gevalideerde cyberaanvalssimulaties op live productiesystemen, uitgevoerd op basis van het TIBER-EU-raamwerk.

AI Act Artikel 9 verplicht aanbieders van hoog-risico AI-systemen tot gestructureerd testen gedurende de gehele ontwikkeling en inzet: testen om te bevestigen dat het systeem functioneert als ontworpen, dat risico's adequaat zijn gemitigeerd en dat het systeem consistent presteert voor alle relevante gebruikerspopulaties. Dit omvat ook het testen op ongewenste uitkomsten, systematische fouten en bias. Voor financiële AI-systemen — kredietscoringsmodellen, fraudedetectie-algoritmen — geldt dat DORA-tests (technische weerbaarheid tegen aanvallen) en AI Act-tests (functionele betrouwbaarheid en billijkheid) beide verplicht zijn op hetzelfde systeem. Ze raken niet aan dezelfde risico's, maar beide testprogramma's dienen gecoördineerd te worden om overlap in testomgevingen, testdata en testmomenten te benutten.

Praktisch: Praktisch: plan DORA-weerbaarheidstests en AI Act-validatietests in hetzelfde testvenster. Gebruik gedeelde testomgevingen waar mogelijk. Zorg dat het testprogramma voor AI-systemen expliciet is opgenomen in de DORA-testprogrammarapportage aan toezichthouders.

05

Governance en bestuursverantwoordelijkheid

DORA Art. 5 × AI Act Art. 26

DORA Artikel 5 legt de eindverantwoordelijkheid voor ICT-risicobeheer expliciet bij het leidinggevend orgaan van de financiële entiteit. De raad van bestuur of raad van commissarissen moet het ICT-risicobeheerskader goedkeuren, voldoende middelen beschikbaar stellen, specifieke taken definiëren en een cultuur van digitale weerbaarheid bevorderen. Dit is geen delegeerbare verantwoordelijkheid: toezichthouders kijken bij een incident naar het bestuursniveau.

AI Act Artikel 26 definieert de verplichtingen van deployers — de organisaties die hoog-risico AI-systemen inzetten. Deployers moeten menselijk toezicht organiseren, de geschiktheid van het systeem voor de beoogde toepassing beoordelen, het systeem controleren op anomalieën en — bij publieke lichamen — een FRIA (Fundamental Rights Impact Assessment) uitvoeren. De governance-vereisten van beide verordeningen richten zich op hetzelfde bestuursniveau. In de praktijk betekent dit dat financiële instellingen de verantwoordelijkheid voor DORA-compliance en AI Act-compliance op boardniveau moeten integreren. Een apart DORA-governance-comité zonder AI Act-mandaat, of vice versa, creëert blinde vlekken.

Praktisch: Praktisch: breid het DORA-governancekader uit met expliciete AI Act-verantwoordelijkheden. Wijs voor elk hoog-risico AI-systeem een systeemverantwoordelijke aan op managementniveau die zowel DORA-ICT-risicovereisten als AI Act-deployer-verplichtingen in zijn of haar mandaat heeft. Rapporteer aan de raad van bestuur over beide kaders in één geïntegreerd overzicht.

Wat moet je dubbel regelen?

Hieronder vind je een praktische checklist van maatregelen die zowel DORA als de AI Act vereisen van financiële instellingen. Dit zijn de punten waar een geïntegreerde aanpak het meeste oplevert.

Risicoregistratie voor AI-systemen als ICT-asset én hoog-risico AI

Art. 6-8 DORA (ICT-risicobeheerskader en -register)⚖️ Art. 9 AI Act (risicomanagement hoog-risico AI gedurende levenscyclus)

Technische documentatie voor elke AI-toepassing in financiële besluitvorming

Art. 8 DORA (registratie ICT-assets en afhankelijkheden)⚖️ Art. 11 + 18 AI Act (technisch dossier + registratie EU-database)

Gecombineerde meldprocedure voor ICT-incidenten én AI-incidenten

Art. 19 DORA (meldplicht grote ICT-gerelateerde incidenten)⚖️ Art. 62 AI Act (meldplicht ernstige incidenten hoog-risico AI)

Uitgebreide due diligence voor AI-leveranciers als kritieke ICT-derde partijen

Art. 28-30 DORA (strategie, due diligence en contractvereisten derde aanbieders)⚖️ Art. 26 AI Act (deployer-verplichtingen ten aanzien van aanbieders)

Gecoördineerd testprogramma: DORA-weerbaarheidstests en AI-validatietests

Art. 24-26 DORA (basisweerbaarheidstests en TLPT)⚖️ Art. 9 lid 7 AI Act (testen vóór marktintroductie)

Menselijk toezicht voor AI-systemen die financiële beslissingen beïnvloeden

Art. 5 DORA (bestuursverantwoordelijkheid voor ICT-beheer)⚖️ Art. 14 AI Act (menselijk toezicht bij hoog-risico systemen)

Geïntegreerd governance-kader met boardrapportage over beide verordeningen

Art. 5 DORA (eindverantwoordelijkheid leidinggevend orgaan)⚖️ Art. 26 AI Act (deployer-verplichtingen en organisatorische maatregelen)

Contractuele AI Act-clausules bij alle AI-leverancierscontracten

Art. 30 DORA (verplichte contractbepalingen ICT-derde aanbieders)⚖️ Art. 26 + 28 AI Act (contractuele afspraken aanbieder-deployer)

Gerelateerde artikelen

AI Governance in de Financiële Sector 2026: Wat Banken Nu Moeten Weten

Meer dan 70% van de banken gebruikt al agentic AI, maar governance frameworks lopen achter. Met de EU AI Act deadline in zicht, is de tijd om te handelen nu.

Lees meer

EBA over de AI Act in de financiële sector: extra laag, geen nieuw universum

De European Banking Authority publiceert een gedetailleerde mapping die laat zien hoe de AI Act zich verhoudt tot CRR/CRD, DORA en EBA Guidelines.

Lees meer

Van slimme score tot zorgplicht: AI-risico's in de financiële sector

Hoe de AI Act financiële instellingen dwingt om van black box naar transparantie te gaan. Van kredietscoring tot fraudedetectie: praktische stappen.

Lees meer

Europees Parlement over AI in de financiële sector

Hoe Brussel denkt over AI en financiën — en wat toezichthouders verwachten van organisaties die AI inzetten voor financiële dienstverlening.

Lees meer

Hoe weerbaarheid is uw instelling op beide fronten?

De AI Readiness Score toetst uw organisatie specifiek op de raakvlakken tussen de AI Act en DORA. U krijgt een score per thema en concrete aanbevelingen voor de financiële sector.

Doe de AI Readiness Score →Of stel direct een vraag →
← Terug naar Gerelateerde Wetgeving