RTO en RPO onder DORA

Hoe bepaal je haalbare hersteldoelen voor kritieke functies?

Vanaf 2025 verplicht DORA financiële instellingen om voor kritieke ICT-functies formeel vast te leggen binnen welk tijdsbestek (RTO) en met hoeveel dataverlies (RPO) zij moeten kunnen herstellen. Maar hoe bepaal je deze hersteldoelen op een manier die realistisch, verdedigbaar én praktisch toepasbaar is? In dit blog nemen we je stap voor stap mee door het proces, gebaseerd op de vereisten uit DORA-artikelen 10, 12 en 24.

RTO

Wat zijn RTO en RPO?

  • RTO (Recovery Time Objective): Hoeveel tijd mag een dienst maximaal onderbroken zijn?

  • RPO (Recovery Point Objective): Hoeveel dataverlies is acceptabel (gemeten vanaf het laatste beschikbare herstelpunt)?

Beide begrippen moeten risicogedreven, afgestemd en getest worden, zeker voor kritieke of belangrijke functies zoals beleggingsadvies, betalingsverkeer of orderrouting.

Stappenplan: zo bepaal je RTO/RPO in lijn met DORA

1. Classificatie van bedrijfsfuncties

Start met het bepalen welke functies kritisch of belangrijk zijn. Dit gebeurt op basis van een Business Impact Analyse (BIA). Alleen voor deze functies moet je formeel een RTO en RPO vaststellen.

Voorbeeld: Beleggingsadvies is een kernfunctie met directe omzetimpact én complianceverplichtingen.


2. Bepaling van afhankelijkheden

Breng per functie in kaart welke ICT-systemen, datastromen, externe dienstverleners en processen cruciaal zijn. Deze ketenanalyse is essentieel om realistische hersteldoelen af te leiden.


3. Kwantificeren van impact bij uitval

Wat gebeurt er als een functie 1 uur, 4 uur, 1 dag of langer onbeschikbaar is? Denk aan:

  • Financiële schade (inkomstenverlies, boetes);

  • Reputatieschade;

  • Klantimpact;

  • Risico op non-compliance.

Deze inschatting bepaalt de risicobereidheid en beïnvloedt de definitie van RTO/RPO.

4. Realistische toets op herstelcapaciteit

Check of de huidige herstelvoorzieningen (zoals back-ups, replicatie, failover-capaciteit) de gewenste doelen ondersteunen. Te ambitieuze RTO’s zonder technische dekking zijn waardeloos.

5. Stakeholderdialoog en validatie

Betrek het senior management, IT, compliance en risico. Zorg dat RTO en RPO formeel worden vastgesteld, goedgekeurd én periodiek herzien worden.

6. Documenteer hersteldoelen per functie

Leg RTO en RPO vast in:

  • Het Business Continuity Plan (BCP);

  • Het ICT-herstelplan;

Zorg dat deze documenten in lijn zijn met de eisen uit artikel 10 en 12 van DORA.

7. Testen en valideren

Voer periodiek tests uit (zoals scenario-oefeningen of failover-tests) om aan te tonen dat hersteldoelen in de praktijk gehaald worden. Dit is verplicht onder artikel 24 DORA.

Voorbeeld: Beleggingsadviesfunctie

Aspect: Impact:
Financieel: Verlies van adviesvergoedingen, risico op uitstroom van klanten.
Operationeel:     Afhankelijk van klantdata, risicoprofielen, orderingssystemen.
Compliance: Zorgplicht, geschiktheidstoets en verslaglegging worden geraakt.

Uitschakeling van deze functie raakt zowel omzet als toezichtverplichtingen, dus is een scherpe RTO en RPO essentieel.

Wat zegt DORA over RTO/RPO?

DORA vereist dat instellingen:

  • Hersteldoelen definiëren op basis van risico;

  • Deze doelen documenteren (art. 10, 12);

  • Periodiek testen of ze haalbaar zijn (art. 24);

  • Afspraken maken met uitbestedingspartners over herstelcapaciteit.

Klaar om je hersteldoelen onder DORA aan te pakken?

Consequent Compliance ondersteunt bij:

  • Business Impact Analyses;

  • Ketenanalyses en afhankelijkheden;

  • Bepalen van realistische RTO/RPO;

  • Documentatie en toetsing op DORA-eisen;

  • Trainingsessies en hersteltests.

Delen