Wet- en regelgeving

DORA: Wat betekent de wet voor ICT-leveranciers in de financiële sector?

Door Output4You B.V. 14 september 2025 7 min leestijd

Sinds 17 januari 2025 is de Digital Operational Resilience Act (DORA) van toepassing. Deze Europese verordening versterkt de digitale weerbaarheid van de financiële sector. Maar wat betekent dit nou eigenlijk als je leverancier bent aan een bank, verzekeraar of pensioenfonds? Wij leggen het uit - zonder juridisch jargon, mét praktische inzichten.

Wat is DORA precies?

DORA staat voor Digital Operational Resilience Act - een Europese verordening die op 27 december 2022 in het EU Publicatieblad verscheen en op 17 januari 2023 in werking trad. Vanaf 17 januari 2025 moeten alle betrokken partijen daadwerkelijk aan de eisen voldoen.

Het doel? De financiële sector beter beschermen tegen digitale risico's. Denk aan cyberaanvallen, systeemstoringen en dataverlies. Want laten we eerlijk zijn: als je bank plat ligt door een ransomware-aanval, dan heb je wel iets groters aan je hoofd dan je documentstromen.

DORA richt zich op vijf pijlers:

  • ICT-risicobeheer - governance, risicoanalyse en beheersmaatregelen
  • ICT-incidentrapportage - melden van grote incidenten aan toezichthouders
  • Digitale weerbaarheidstesten - periodieke penetratietesten (TLPT)
  • Risicobeheer derde partijen - toezicht op ICT-leveranciers
  • Informatie-uitwisseling - delen van dreigingsinformatie

Voor wie geldt DORA?

DORA geldt voor financiële instellingen die onder EU-wetgeving vallen, waaronder:

  • Banken en kredietinstellingen
  • Verzekeraars en herverzekeraars
  • Beleggingsondernemingen
  • Betaalinstellingen
  • Pensioenfondsen
  • Elektronisch geldinstellingen

Maar hier wordt het interessant voor leveranciers: DORA gaat niet alleen over de financiële instellingen zelf. Ook kritieke ICT-dienstverleners vallen direct onder toezicht van de Europese toezichthouders (EBA, ESMA of EIOPA).

Wat betekent dit voor ICT-leveranciers?

Als je diensten levert aan de financiële sector - of dat nu cloudservices, datacentra, cybersecurity of documentverwerking is - krijg je te maken met nieuwe eisen. De verordening bevat ongeveer 70 artikelen met zo'n 1.200 individuele verplichtingen. Ja, je leest het goed.

Contractuele verplichtingen

Financiële instellingen moeten specifieke DORA-eisen opnemen in contracten met ICT-leveranciers. Dit betekent voor jou als leverancier:

  • SLA's met KPI's - meetbare prestatie-indicatoren in je contracten
  • Kennisgevingstermijnen - duidelijke afspraken over meldingen
  • Rapportageverplichtingen - periodieke rapportages over je dienstverlening
  • Exit-strategieën - heldere procedures voor beëindiging zonder continuïteitsrisico's
  • Auditrechten - de financiële instelling én toezichthouders mogen audits uitvoeren
  • Medewerking aan penetratietesten - je moet meewerken aan threat-led penetration tests (TLPT)

Onderaanneming? Opgelet!

Je mag kritieke functies niet zomaar verder uitbesteden aan onderaannemers. Dit vereist voorafgaande goedkeuring van je klant. Dus die handige offshore-partner voor je backend? Daar moet je klant expliciet mee akkoord gaan.

Geen one-size-fits-all

Belangrijk om te weten: er bestaat geen standaard template die alle risico's dekt. Elk contract vereist maatwerk, gebaseerd op de kritikaliteit van jouw diensten en het risicoprofiel. Zoals EY het treffend verwoordt: "Eén allesomvattend template voor alle risico's bestaat niet en is ook niet wenselijk."

Kritieke ICT-dienstverleners onder direct toezicht

Ben je als leverancier aangemerkt als kritieke ICT-dienstverlener? Dan val je rechtstreeks onder toezicht van:

  • EBA (European Banking Authority) - voor de bankensector
  • ESMA (European Securities and Markets Authority) - voor effectenmarkten
  • EIOPA (European Insurance and Occupational Pensions Authority) - voor verzekeraars en pensioenfondsen

Dit betekent dat je niet alleen via je klanten te maken krijgt met DORA, maar ook direct door deze toezichthouders gecontroleerd kunt worden.

Wat moet je als leverancier concreet doen?

  1. Inventariseer je klanten - Welke van je klanten vallen onder DORA? (Hint: vrijwel iedereen in de financiële sector)
  2. Review je contracten - Voldoen ze aan de nieuwe DORA-eisen? Waarschijnlijk moeten ze worden aangepast
  3. Documenteer je processen - Hoe zit je ICT-risicobeheer in elkaar? Kun je dit aantonen?
  4. Bereid je voor op audits - Toezichthouders én klanten mogen komen controleren
  5. Check je onderaannemers - Breng je eigen toeleveringsketen in kaart
  6. Stel incidentprocedures op - Hoe meld je incidenten en binnen welke termijnen?

En als je niet voldoet?

In Nederland is De Nederlandsche Bank (DNB) bevoegd om DORA te handhaven. Ze kunnen administratieve sancties opleggen en handhavingsmaatregelen treffen onder het Wft-kader. De exacte boetebedragen variëren, maar het is niet iets waar je lichtzinnig mee om moet gaan.

Bovendien: als je niet aan de DORA-eisen voldoet, loop je het risico dat financiële instellingen simpelweg niet meer met je willen (of mogen) werken. En dat is misschien nog wel een groter risico dan een boete.

Output4You en DORA

Bij Output4You leveren we outputmanagement-diensten aan diverse financiële instellingen. Wij hebben onze processen en contracten afgestemd op de DORA-vereisten. Dat betekent:

  • Transparante SLA's met meetbare KPI's
  • Gedocumenteerde incidentprocedures
  • Medewerking aan audits en penetratietesten
  • Heldere exit-strategieën in onze contracten
  • ISO 27001 certificering als fundament

Zo kunnen onze klanten in de financiële sector met een gerust hart hun documentstromen aan ons uitbesteden - DORA-compliant.

Vragen over DORA en documentverwerking?

Wilt u weten hoe wij uw documentprocessen DORA-compliant kunnen inrichten? Neem vrijblijvend contact op voor een adviesgesprek.

Meer informatie nodig?

Neem contact op voor een vrijblijvende analyse van uw documentprocessen.

Contact opnemen