Zakelijk contract met rode lakzegel op mahonie bureau, koperen vulpen diagonaal over documenten, compliancemappen op achtergrond

Welke contractuele eisen stelt DORA aan leveranciers?

in

DORA stelt strenge contractuele eisen aan leveranciers van ICT-diensten voor financiële instellingen. Artikel 30 van de Digital Operational Resilience Act schrijft verplichte bepalingen voor over beschikbaarheid, beveiliging, auditrechten en exitstrategieën. Financiële entiteiten moeten deze eisen opnemen in alle overeenkomsten met ICT-dienstverleners om compliant te zijn vanaf 17 januari 2025. Dit artikel beantwoordt de belangrijkste vragen over DORA-contractvereisten.

Welke contractuele bepalingen zijn verplicht onder DORA?

DORA schrijft in artikel 30 specifieke contractuele clausules voor die financiële entiteiten moeten opnemen in overeenkomsten met ICT-dienstverleners. Deze bepalingen omvatten eisen rond beschikbaarheid, integriteit, beveiliging en continuïteit van diensten. De wet vereist dat contracten duidelijke afspraken bevatten over serviceniveaus, incidentrapportage en medewerking aan toezichthouders.

De minimale contractinhoud onder DORA omvat de volgende elementen:

  • Een volledige beschrijving van alle te leveren ICT-diensten en functies
  • Locaties waar data worden verwerkt en opgeslagen, inclusief geografische beperkingen
  • Bepalingen over gegevensbescherming en toegangsbeveiliging
  • Serviceniveaus met meetbare prestatie-indicatoren
  • Verplichtingen voor incidentmelding en responstijden
  • Medewerking aan toezichthouders en bevoegde autoriteiten

Deze contractuele basis geldt voor alle ICT-dienstverleners, ongeacht of zij kritieke of niet-kritieke functies ondersteunen. Het doel is een uniform beschermingsniveau te creëren binnen de Europese financiële sector.

Wat is het verschil tussen kritieke en niet-kritieke ICT-dienstverleners onder DORA?

DORA maakt onderscheid tussen kritieke en niet-kritieke ICT-dienstverleners op basis van de impact die uitval zou hebben op de bedrijfsvoering. Kritieke dienstverleners ondersteunen functies die essentieel zijn voor de continuïteit van financiële diensten. Voor overeenkomsten met deze leveranciers gelden aanvullende contractuele verplichtingen boven op de standaardeisen.

De criteria voor classificatie als kritieke dienstverlener omvatten:

  • De dienst ondersteunt kritieke of belangrijke functies van de financiële entiteit
  • Uitval zou leiden tot significante operationele verstoring
  • De dienstverlener heeft toegang tot gevoelige klantgegevens of bedrijfskritische systemen
  • Er is beperkte mogelijkheid tot snelle vervanging van de dienstverlener

Voor kritieke dienstverleners moet het contract aanvullende bepalingen bevatten over uitgebreidere auditrechten, gedetailleerde exitstrategieën en strengere eisen aan subuitbesteding. Cloudcomputingproviders, softwareleveranciers en datacenters die kritieke diensten leveren aan financiële instellingen vallen vaak in deze categorie.

Welke auditrechten moet je contractueel vastleggen met leveranciers?

Financiële entiteiten moeten contractueel het recht bedingen om audits en inspecties uit te voeren bij ICT-dienstverleners. DORA vereist toegang tot relevante informatie, systemen en locaties om de naleving van contractuele en wettelijke verplichtingen te kunnen verifiëren. Dit auditrecht moet onbelemmerd en volledig zijn vastgelegd in de overeenkomst.

De verplichte auditrechten onder DORA omvatten:

  • Recht op periodieke en ad-hocinspecties ter plaatse
  • Toegang tot alle relevante documentatie en rapportages
  • Mogelijkheid om onafhankelijke auditors in te schakelen
  • Medewerking van de leverancier aan onderzoeken door toezichthouders

DORA erkent dat individuele audits bij grote dienstverleners in de praktijk lastig kunnen zijn. Daarom biedt de wet ruimte voor pooled audits, waarbij meerdere financiële entiteiten gezamenlijk een audit uitvoeren. Als alternatief kunnen leveranciers certificeringen of assurance-rapportages, zoals SOC 2– of ISAE 3402-verklaringen, overleggen. Deze alternatieven vervangen echter niet volledig het contractuele auditrecht.

Hoe regel je een exitstrategie in leverancierscontracten onder DORA?

DORA verplicht financiële entiteiten om exitstrategieën en transitieplannen contractueel vast te leggen voor alle ICT-diensten die kritieke functies ondersteunen. Deze bepalingen moeten vendor lock-in voorkomen en een ordelijke overgang mogelijk maken naar een alternatieve dienstverlener of terugname van de dienstverlening.

Een DORA-conforme exitstrategie omvat minimaal:

  • Adequate opzegtermijnen die voldoende tijd bieden voor transitie
  • Verplichtingen voor dataportabiliteit en overdracht van gegevens in een bruikbaar formaat
  • Ondersteuning door de leverancier tijdens de migratieperiode
  • Continuïteit van dienstverlening gedurende de transitiefase
  • Vernietiging of teruggave van data na afloop van de overeenkomst

De exitstrategie moet regelmatig worden getest en geactualiseerd. Dit sluit aan bij de bredere DORA-eis voor veerkrachttesten om digitale weerbaarheid te waarborgen. Een goed uitgewerkte exitstrategie beschermt de financiële entiteit tegen afhankelijkheid van één leverancier.

Welke eisen stelt DORA aan subuitbesteding door leveranciers?

DORA stelt strikte regels voor subuitbesteding door ICT-dienstverleners. Financiële entiteiten moeten contractueel goedkeuringsrechten bedingen voor het inschakelen van subleveranciers die kritieke functies ondersteunen. De hoofdleverancier blijft volledig verantwoordelijk voor de prestaties van alle partijen in de uitbestedingsketen.

De contractuele bepalingen rond subuitbesteding moeten het volgende omvatten:

  • Voorafgaande goedkeuring of bezwaarrecht bij inschakeling van nieuwe subleveranciers
  • Volledige transparantie over de gehele uitbestedingsketen
  • Doorgifte van alle relevante contractuele verplichtingen aan subleveranciers
  • Recht op informatie over locaties waar data worden verwerkt
  • Mogelijkheid om de overeenkomst te beëindigen bij onacceptabele subuitbesteding

Deze eisen aan derdenbeheer weerspiegelen het DORA-uitgangspunt dat digitale operationele veerkracht afhangt van de beveiliging en betrouwbaarheid van de gehele ICT-toeleveringsketen. Financiële entiteiten moeten inzicht hebben in wie uiteindelijk hun data verwerkt en systemen beheert.

Hoe bereid je bestaande leverancierscontracten voor op DORA-compliance?

Het aanpassen van bestaande ICT-contracten aan DORA-vereisten vraagt om een gestructureerde aanpak. Begin met een gap-analyse van alle lopende overeenkomsten om vast te stellen welke contracten aanpassing nodig hebben. Geef prioriteit aan contracten met kritieke dienstverleners en overeenkomsten die binnenkort verlengd moeten worden.

Een praktische aanpak voor contractaanpassing omvat de volgende stappen:

  • Inventariseer alle ICT-dienstverleners en classificeer ze als kritiek of niet-kritiek
  • Toets bestaande contracten aan de DORA-vereisten uit artikel 30
  • Identificeer ontbrekende bepalingen en prioriteer op basis van risico
  • Ontwikkel standaard DORA-clausules voor heronderhandeling
  • Plan heronderhandelingen ruim voor de compliance-deadline

Veel leveranciers zijn inmiddels bekend met DORA en hebben standaardaddenda ontwikkeld. Toch is het raadzaam om kritisch te toetsen of deze addenda daadwerkelijk alle vereiste bepalingen bevatten. Een grondige analyse van IT-risico’s en contractuele dekking voorkomt verrassingen bij toezichthouders.

Hoe helpt Hoek en Blok IT bij DORA-contracteisen voor leveranciers?

Hoek en Blok IT ondersteunt financiële entiteiten bij het voldoen aan de contractuele DORA-vereisten voor leveranciersbeheer. Met NOREA-gecertificeerde EDP-auditors en ruime ervaring in de financiële sector biedt het bureau pragmatische ondersteuning bij alle aspecten van DORA-compliance.

De dienstverlening omvat:

  • Gap-analyses van bestaande leverancierscontracten ten opzichte van DORA-vereisten
  • Contractreviews en ontwikkeling van DORA-conforme clausules
  • Classificatie van ICT-dienstverleners als kritiek of niet-kritiek
  • Ondersteuning bij heronderhandelingen met leveranciers
  • Uitvoering van DORA-audits bij ICT-dienstverleners
  • IT Security Officer as a Service voor doorlopende compliance-monitoring

Door een betaalbare en resultaatgerichte aanpak helpt Hoek en Blok IT organisaties efficiënt te voldoen aan DORA-vereisten, zonder onnodige administratieve lasten. Neem contact op voor een vrijblijvend gesprek over de DORA-gereedheid van uw leverancierscontracten.