DORA als ICT-leverancier van financiële instellingen: wat wordt er van je verwacht?

De Digital Operational Resilience Act (DORA) wordt vaak beschouwd als regelgeving voor financiële instellingen. Dat klopt, maar het verhaal is onvolledig. DORA legt ook verplichtingen op aan ICT-dienstverleners die diensten leveren aan de financiële sector. Als je SaaS, hosting, managed services of andere ICT-diensten levert aan banken, verzekeraars, betaalinstellingen of andere financiële entiteiten, raakt DORA je direct.

Kritieke versus niet-kritieke ICT-dienstverleners

DORA maakt onderscheid tussen kritieke en niet-kritieke ICT-dienstverleners. Kritieke ICT-dienstverleners worden aangewezen door de Europese toezichthoudende autoriteiten (ESA's) en vallen onder direct toezicht op Europees niveau. Dit betreft doorgaans grote cloudproviders en infrastructuurleveranciers waarvan een groot deel van de financiële sector afhankelijk is.

Niet-kritieke ICT-dienstverleners vallen niet onder dit directe Europese toezicht, maar worden indirect geraakt. Financiële instellingen zijn namelijk verplicht om de DORA-eisen door te vertalen naar hun leveranciers via contractuele afspraken, due diligence en monitoring.

Wat financiële instellingen van je verwachten

Door DORA worden financiële instellingen verplicht om in hun contracten met ICT-dienstverleners specifieke bepalingen op te nemen. Dit omvat eisen aan beschikbaarheid en continuïteit, incidentmelding, auditmogelijkheden, exit-strategieën en datalocatie.

Concreet betekent dit dat je als ICT-leverancier steeds vaker te maken krijgt met contractuele eisen als: meldplicht voor ICT-incidenten binnen korte termijnen, het toestaan van audits door de financiële instelling of haar toezichthouder, het aantonen van business continuity en disaster recovery maatregelen, transparantie over subuitbesteding, en exit-clausules die waarborgen dat de financiële instelling haar dienstverlening kan voortzetten als de relatie eindigt.

Hoe je je kunt voorbereiden

De meest effectieve voorbereiding is het opbouwen van aantoonbare beheersmaatregelen die je proactief kunt delen met klanten in de financiële sector. Een SOC 2 of ISAE 3402 rapport is daarbij een sterk middel. Het rapport geeft onafhankelijke zekerheid over je controls en bespaart zowel jou als je klant de inspanning van individuele audits.

Daarnaast is het verstandig om je contracten en SLA's te reviewen op DORA-compatibiliteit. Financiële instellingen zullen hun contracten aanpassen aan de DORA-eisen en verwachten dat leveranciers meewerken. Door proactief te tonen dat je hierop bent voorbereid, versterk je je positie als betrouwbare partner.

Business continuity verdient bijzondere aandacht. DORA eist dat financiële instellingen testen of hun ICT-dienstverleners daadwerkelijk kunnen herstellen na een verstoring. Dit kan betekenen dat je klant een disaster recovery test bij jou wil uitvoeren, of dat je gevraagd wordt om deel te nemen aan een scenariogebaseerde oefening.

Incident management moet op orde zijn. Financiële instellingen moeten ICT-gerelateerde incidenten snel melden aan toezichthouders. Dat kan alleen als hun leveranciers incidenten tijdig melden. Zorg dat je een incidentresponsproces hebt dat aansluit bij de meldtermijnen van je klanten.

De commerciële kans

DORA wordt vaak gepresenteerd als een last, maar voor ICT-dienstverleners die hun zaken op orde hebben, is het ook een kans. Financiële instellingen moeten hun leveranciersbestand rationaliseren en kiezen voor partijen die aantoonbaar aan de DORA-eisen voldoen. Een leverancier met een SOC 2 rapport, een bewezen incident management proces en een geteste DR-oplossing heeft een voorsprong op concurrenten die dit niet kunnen aantonen.

Secure Audit helpt ICT-dienstverleners bij het voorbereiden op de eisen die voortkomen uit DORA. Van het opzetten van een SOC 2 of ISAE 3402 traject tot het reviewen van contracten en het versterken van incident management. Neem contact op voor een gesprek.