Metalen hangslot beveiligt ketting rond serverrack, regelgevingsdocumenten op voorgrond in modern datacenter

Vallen IT-dienstverleners onder DORA?

in

Ja, IT-dienstverleners kunnen onder DORA vallen, met name wanneer zij diensten leveren aan financiële instellingen. De Digital Operational Resilience Act (DORA) richt zich niet alleen op banken en verzekeraars, maar strekt zich expliciet uit tot kritieke ICT-dienstverleners in de keten. Cloudproviders, softwareleveranciers en datacenters die kritieke functies ondersteunen voor financiële entiteiten, moeten voldoen aan specifieke DORA-vereisten. Dit artikel beantwoordt de belangrijkste vragen over de toepasselijkheid van DORA op IT-dienstverleners.

Wat houdt DORA in voor de IT-sector?

DORA is Europese wetgeving die sinds januari 2025 van kracht is en gericht is op het versterken van de digitale operationele weerbaarheid van de financiële sector. De wet erkent dat financiële instellingen sterk afhankelijk zijn van ICT-systemen en externe technologieleveranciers. Daarom stelt DORA niet alleen eisen aan banken en verzekeraars, maar ook aan de IT-dienstverleners die hen ondersteunen.

De regelgeving is opgebouwd rond vijf pijlers: ICT-risicobeheer, incidentbeheer en -rapportage, digitale operationele weerbaarheidstesten, beheer van ICT-derdepartijrisico’s en informatie-uitwisseling. Voor IT-dienstverleners betekent dit dat zij moeten kunnen aantonen dat hun dienstverlening voldoet aan de weerbaarheidseisen van hun financiële klanten.

DORA biedt een uniform regelgevingskader binnen de EU, wat versnippering en dubbele regels vermindert. Dit zorgt voor een gelijk speelveld tussen financiële instellingen en hun IT-leveranciers, terwijl het innovatie stimuleert door heldere kaders te scheppen voor digitale vernieuwing, zoals cloudoplossingen.

Welke IT-dienstverleners vallen direct onder DORA?

DORA strekt zich uit tot IT-dienstverleners die kritieke of belangrijke functies ondersteunen voor financiële instellingen. Dit omvat cloudproviders, softwareleveranciers en datacenters die deel uitmaken van de ICT-keten van financiële entiteiten. De wetgeving erkent dat digitale operationele weerbaarheid niet alleen afhangt van interne maatregelen, maar ook van de veiligheid en betrouwbaarheid van de gehele ICT-toeleveringsketen.

Er bestaat een onderscheid tussen directe en indirecte toepasselijkheid:

  • Directe toepasselijkheid: Kritieke ICT-dienstverleners die door Europese toezichthouders zijn aangewezen, vallen rechtstreeks onder DORA-toezicht.
  • Indirecte toepasselijkheid: IT-dienstverleners die diensten leveren aan financiële klanten, krijgen via contractuele verplichtingen te maken met DORA-eisen.

Ook wanneer jouw IT-bedrijf niet als kritiek wordt aangemerkt, zullen financiële klanten contractuele DORA-bepalingen opnemen in hun overeenkomsten. Dit maakt DORA-compliance feitelijk onvermijdelijk voor IT-dienstverleners met een financiële klantenportefeuille.

Wat zijn de belangrijkste DORA-verplichtingen voor IT-dienstverleners?

IT-dienstverleners die diensten leveren aan financiële instellingen, moeten voldoen aan specifieke verplichtingen op het gebied van ICT-risicobeheer, incidentmelding en operationele weerbaarheid. De kernverplichtingen omvatten het aantonen van adequate beveiligingsmaatregelen en het ondersteunen van de weerbaarheidseisen van financiële klanten.

De belangrijkste verplichtingen zijn:

  • ICT-risicobeheer: Een gedocumenteerd raamwerk voor het identificeren, beoordelen en beheersen van ICT-risico’s.
  • Incidentclassificatie en -melding: Procedures voor het classificeren van incidenten op basis van impact, aantal getroffen klanten, reputatieschade, downtime en dataverlies.
  • Operationele weerbaarheidstesten: Periodieke tests om aan te tonen dat beveiligingsmaatregelen daadwerkelijk effectief zijn.
  • Documentatie: Uitgebreide vastlegging van processen, maatregelen en testresultaten.

Financiële klanten zullen verwachten dat IT-dienstverleners kunnen aantonen dat zij voldoende maatregelen hebben geïmplementeerd én dat deze maatregelen daadwerkelijk werken. Een nulmeting vormt een essentiële eerste stap om te begrijpen wat DORA concreet betekent voor jouw organisatie.

Hoe bepaal je of jouw IT-bedrijf als kritieke ICT-dienstverlener wordt aangemerkt?

Europese toezichthouders hanteren specifieke criteria om te bepalen of een IT-dienstverlener als kritiek wordt beschouwd. De aanwijzing als kritieke ICT-dienstverlener heeft verstrekkende gevolgen, aangezien dit directe onderworpenheid aan Europees toezicht betekent.

De beoordelingscriteria omvatten:

  • Systeemrelevantie: De mate waarin de dienstverlening essentieel is voor de werking van de financiële sector.
  • Klantenbestand: Het aantal financiële instellingen dat afhankelijk is van de diensten.
  • Vervangbaarheid: De mogelijkheid om de dienstverlening over te dragen naar alternatieve leveranciers.
  • Aard van de diensten: Of de diensten kritieke of belangrijke functies ondersteunen.

Ook wanneer jouw organisatie niet formeel als kritiek wordt aangewezen, kunnen financiële klanten jouw dienstverlening intern als kritiek classificeren. Dit leidt tot vergelijkbare contractuele verplichtingen en verwachtingen rond DORA-compliance.

Welke contractuele eisen stelt DORA aan IT-dienstverleners?

DORA schrijft specifieke contractuele bepalingen voor die financiële instellingen moeten opnemen in overeenkomsten met hun IT-dienstverleners. Deze bepalingen zijn bedoeld om de digitale operationele weerbaarheid van de gehele keten te waarborgen.

De verplichte contractuele elementen omvatten:

  • Exit-strategieën: Duidelijke afspraken over hoe de dienstverlening kan worden beëindigd of overgedragen.
  • Auditrechten: Het recht voor financiële klanten en toezichthouders om audits uit te voeren.
  • Incidentrapportage: Verplichtingen rond het melden van ICT-gerelateerde incidenten.
  • Subuitbesteding: Bepalingen over het uitbesteden van diensten aan onderaannemers.
  • Service level agreements: Meetbare afspraken over beschikbaarheid, prestaties en beveiliging.

IT-dienstverleners moeten bij contractonderhandelingen rekening houden met deze vereisten. Het is verstandig om proactief DORA-conforme contractbepalingen voor te bereiden, zodat je financiële klanten adequaat kunt bedienen.

Wat zijn de gevolgen als IT-dienstverleners niet aan DORA voldoen?

Non-compliance met DORA kan leiden tot aanzienlijke consequenties voor IT-dienstverleners. De gevolgen variëren van contractuele risico’s tot directe toezichtmaatregelen, afhankelijk van de status als kritieke ICT-dienstverlener.

De mogelijke consequenties zijn:

  • Contractuele risico’s: Financiële klanten kunnen contracten beëindigen of verlenging weigeren bij onvoldoende DORA-compliance.
  • Toezichtmaatregelen: Kritieke ICT-dienstverleners kunnen direct worden onderworpen aan maatregelen van Europese toezichthouders.
  • Reputatieschade: Het onvermogen om compliance aan te tonen, schaadt de marktpositie bij financiële klanten.
  • Markttoegang: Zonder DORA-compliance wordt het steeds moeilijker om financiële instellingen als klant te werven of te behouden.

Organisaties die zich niet adequaat voorbereiden, riskeren onaangename verrassingen bij toekomstige audits of toezichtsinspecties. Tijdige voorbereiding voorkomt deze risico’s en biedt een concurrentievoordeel.

Hoe helpt Hoek en Blok IT bij DORA-compliance voor IT-dienstverleners?

Hoek en Blok IT ondersteunt IT-dienstverleners bij het realiseren van aantoonbare DORA-compliance. Met meer dan dertig jaar praktijkervaring in de financiële sector en bij IT-dienstverleners bieden wij pragmatische ondersteuning die aansluit bij jouw specifieke situatie.

Onze dienstverlening omvat:

  • DORA-gapanalyses: Bepalen welke risico’s of maatregelen nog nodig zijn voor voldoende digitale weerbaarheid.
  • IT-audits: Beoordelen van de compliance met DORA-vereisten door geregistreerde IT-auditors.
  • Contractuele ondersteuning: Begeleiding bij het opstellen van DORA-conforme contractbepalingen.
  • Operationele weerbaarheidstesten: Ondersteuning bij het opzetten en uitvoeren van verplichte tests.
  • Monitoringstructuren: Inrichten van structuren die zichtbaarheid bieden op de effectiviteit van maatregelen.

Wil je weten wat DORA concreet betekent voor jouw IT-organisatie? Neem contact op voor een vrijblijvend gesprek over een nulmeting die inzicht geeft in jouw huidige positie en de stappen naar aantoonbare compliance.