De Digital Operational Resilience Act (DORA) vormt sinds haar inwerkingtreding een fundamentele verandering in de wijze waarop digitale dienstverlening aan financiële instellingen moet worden ingericht. Hoewel DORA primair verplichtingen oplegt aan financiële entiteiten zelf, heeft de verordening een sterk indirecte werking richting IT‑leveranciers. Deze leveranciers worden namelijk een onmisbare schakel binnen het operational resilience‑kader van hun klanten, waardoor zij onvermijdelijk te maken krijgen met aanvullende eisen, contractuele heronderhandelingen en verhoogde toezichtsplichten. Dit artikel van Pieter Ballings (advocaat bij Holla legal & tax) bespreekt de belangrijkste verplichtingen uit DORA vanuit het perspectief van de IT‑leverancier, en beschrijft de impact hiervan op praktijk, techniek en contractering.
DORA richt zich in beginsel op financiële entiteiten, maar legt tegelijkertijd een set van verplichtingen op aan hun “ICT third‑party service providers”. Voor de IT‑leverancier betekent dit dat hij onderdeel wordt van het bredere ICT‑risicobeheer van de klant. Artikel 28 DORA benadrukt de verantwoordelijkheid van de financiële instelling om haar gehele ICT‑keten te beheersen, inclusief externe leveranciers. Hierdoor ontstaat een situatie waarin de IT‑leverancier, hoewel formeel niet rechtstreeks onder toezicht van DNB of ECB staat, toch gehouden is de normen uit DORA te respecteren en aan te tonen dat deze worden nageleefd.
Deze regeldruk sluit aan bij bestaande zorgplichten in het Nederlandse IT‑contractenrecht, waar leveranciers al lange tijd worden aangesproken op hun professionele deskundigheid en informatieplicht. Uit de juridische literatuur en rechtspraak is immers bekend dat een IT‑leverancier een bijzondere zorgplicht heeft wanneer zijn diensten essentieel zijn voor de bedrijfsvoering van de klant, vooral wanneer gevoelige gegevens worden verwerkt of kritieke functies worden ondersteund. DORA formaliseert deze ontwikkeling en geeft er een Europees-wettelijke dimensie aan.
Daarnaast is het van belang te benadrukken dat het uitsluitend de financiële instelling zelf is die bepaalt of een uitbestede ICT‑dienst kwalificeert als een “kritieke” of “belangrijke” functie in de zin van artikel 28 DORA (artikel 28(1)(b) en 28(4)(a)). Deze kwalificatie ligt dus niet bij de IT‑leverancier. Hoewel de leverancier input kan geven over technische of operationele risico’s, blijft de eindverantwoordelijkheid voor de risicoclassificatie bij de financiële entiteit. Deze beoordeling bepaalt vervolgens in hoge mate de zwaarte van de contractuele en operationele verplichtingen die aan de leverancier mogen worden opgelegd.
Een van de belangrijkste onderdelen van DORA betreft de verplichting tot een solide kader voor ICT‑risicobeheer (artikelen 5-15 DORA). Hoewel de verantwoordelijkheid voor dit raamwerk primair bij de financiële instelling ligt, moet de IT‑leverancier via contractuele afspraken aantonen dat zijn eigen processen en maatregelen in lijn liggen met de verwachtingen uit de verordening. Denk hierbij aan beleid voor patchmanagement, logging, interne controles, kwetsbaarheidsbeheer en back‑up en herstelprocedures.
De leverancier moet voorbereid zijn om dit beleid niet alleen te implementeren, maar ook te laten toetsen. Daarbij speelt documentatie een cruciale rol: financiële instellingen moeten immers naar de toezichthouder kunnen aantonen dat de leverancier betrouwbaar is en voldoet aan de vereiste standaarden. Deze behoefte aan controleerbaarheid sluit aan op het bredere thema van “in control zijn”, dat in meerdere professionele richtlijnen voor cloud‑ en IT‑dienstverlening wordt benadrukt.
DORA introduceert een verplichting voor financiële instellingen om ernstige ICT‑incidenten binnen strikte termijnen te melden bij de toezichthouder (artikelen 17-19 DORA). De naleving daarvan is onmogelijk zonder actieve betrokkenheid van de IT‑leverancier.
Van leveranciers wordt verwacht dat zij incidenten snel en volledig melden aan hun klant, inclusief alle relevante technische details. Bovendien kan van hen worden verlangd dat zij meewerken aan forensisch onderzoek, root‑cause analyses en documentatie voor rapportage aan de toezichthouder. Dit vereist een cultuur van transparantie, tijdige communicatie en directe escalatie.
De norm dat leveranciers proactief moeten informeren en waarschuwen wordt al jaren bevestigd in de jurisprudentie en in professionele IT‑richtlijnen, waarin wordt gesteld dat waarschuwingsplichten en informatieplichten tot de kern behoren van professioneel IT‑handelen. DORA versterkt dit uitgangspunt door er een toezichtsrechtelijke dimensie aan toe te voegen.
Een ander centraal onderdeel van DORA is de verplichting tot testen van digitale operationele weerbaarheid (“operational resilience testing”), vastgelegd in artikelen 21-26 van de verordening. Deze verplichting kan voor IT‑leveranciers vergaande gevolgen hebben. Zij kunnen worden gevraagd om deel te nemen aan technische onderzoeken, waaronder geavanceerde vormen van penetratietesten zoals threat‑led penetration testing (TLPT).
Deelname aan dergelijke testen vraagt om strikte veiligheidsprotocollen en een helder begrip van de risico’s die verbonden zijn aan toegang door testers tot interne systemen. Leveranciers zullen contractueel moeten vastleggen onder welke voorwaarden testen mogelijk zijn, wie mag testen, welk materiaal wordt verstrekt, en hoe het risico op schade of gegevensverlies wordt beperkt.
Uit verschillende praktijkbronnen blijkt dat traditionele auditmethoden, zoals fysieke audits, vaak niet toepasbaar zijn op cloud‑omgevingen. Daarom wordt in de praktijk veel gebruik gemaakt van third‑party assurance zoals SOC‑rapports of ISAE‑verklaringen, die bij uitstek geschikt zijn om DORA‑compliance aannemelijk te maken zonder interne systemen bloot te hoeven geven.
Artikel 30 DORA vereist dat financiële instellingen ten minste een doeltreffend auditrecht behouden ten opzichte van hun ICT‑dienstverleners. Dit omvat niet alleen contractuele auditrechten voor de klant zelf, maar kan ook toegang voor toezichthouders inhouden.
Voor de IT‑leverancier kan dit een complexe verplichting zijn. Enerzijds moet hij aan auditverzoeken kunnen voldoen; anderzijds moet hij de veiligheid van zijn eigen systemen en de belangen van andere klanten waarborgen. Het vinden van een balans tussen openheid en beveiliging is daarom essentieel.
Ook hier bieden third‑party assurance rapportages een nuttig alternatief. De praktijk wijst uit dat leveranciers auditverzoeken effectiever kunnen managen wanneer zij een gestandaardiseerd set van assurance‑documenten aanbieden die voldoet aan de behoeften van zowel klanten als toezichthouders.
DORA verplicht financiële instellingen om hun gehele ICT‑keten te monitoren, inclusief afhankelijkheden van onderaannemers (artikel 28(4) en artikel 29 DORA). Dit betekent dat de IT‑leverancier transparantie moet bieden over zijn eigen leveranciers en subcontractors.
Voor leveranciers, en zeker voor cloud‑aanbieders, betekent dit dat zij scherp moeten nadenken over hun supply chain‑architectuur. Het inschakelen van subverwerkers of technische partners kan alleen wanneer klanten daarover worden geïnformeerd en de risico’s adequaat worden beheerst. In eerdere analyses van cloudcontracten wordt erop gewezen dat gebrek aan inzicht in ketenrelaties tot aanzienlijke juridische risico’s leidt, omdat de klant niet kan vaststellen wie toegang heeft tot welke gegevens en systemen.
Tot slot introduceert DORA een expliciete verplichting voor financiële instellingen om uitvoerbare exitstrategieën te hanteren wanneer zij een ICT‑dienstverlener willen of moeten beëindigen (artikel 28(7) en 28(8) DORA).
IT‑leveranciers moeten daarom kunnen aantonen dat zij in staat zijn tot een ordelijke en tijdige overdracht van data, systemen, documentatie en kennis. In de praktijk leidt dit tot complexe contractonderhandelingen, vooral wanneer veel maatwerk, gesloten infrastructuren of afhankelijkheden van onderaannemers bestaan. Het Handboek ICT‑contracten benadrukt dat goede afspraken over exit cruciaal zijn om te voorkomen dat leveranciers worden geconfronteerd met open‑eindverplichtingen of disproportionele lasten. Contractmanagement en afbakening van verantwoordelijkheden zijn hier essentieel.
DORA brengt een nieuwe realiteit voor IT‑leveranciers die actief zijn in de financiële sector. Hoewel de verplichtingen formeel op financiële instellingen rusten, worden zij praktisch verlegd naar leveranciers via contractuele eisen, auditverzoeken, rapportageplichten en ketentransparantie. Voor de IT‑leverancier betekent dit een verdere professionalisering van processen, een grotere nadruk op documentatie en voorspelbaarheid, en een noodzaak om contractueel duidelijk af te bakenen welke verplichtingen haalbaar en proportioneel zijn.
Leveranciers die investeren in compliance‑structuren, heldere communicatie en aantoonbare governance zullen sterker uit deze ontwikkeling komen en zich onderscheiden als betrouwbare partners in een steeds strenger gereguleerde markt.
