Levert uw bedrijf software of IT-diensten aan banken, verzekeraars of andere financiële instellingen? Dan heeft de Europese DORA-wetgeving directe gevolgen voor u — ook al bent u zelf geen bank.
De Digital Operational Resilience Act (DORA) is sinds januari 2025 van kracht en verandert de spelregels voor de hele toeleveringsketen van de financiële sector. Waar vroeger een commercieel SLA volstond, eist de wet nu harde garanties over beveiliging, continuïteit en transparantie. In dit artikel leggen we uit wat dit concreet betekent voor Vlaamse softwarebedrijven, MSP’s en IT-dienstverleners.
Waarom DORA ook voor niet-banken geldt
De kernfilosofie achter DORA is eenvoudig: het risico van een bank is verweven met het risico van haar leveranciers. Wanneer een financiële instelling haar kernprocessen uitbesteedt aan een SaaS-platform of cloudprovider, besteedt ze feitelijk haar operationeel risico uit.
De Europese wetgever lost dit op door de financiële sector te verplichten om strenge eisen door te leggen naar hun toeleveranciers. Het gevolg? Banken worden effectief toezichthouders van hun eigen leveranciers. Als ICT-bedrijf krijgt u via het contract dezelfde verplichtingen opgelegd als uw klant zelf moet naleven.
Dit creëert een binaire marktrealiteit: ofwel bent u DORA-ready en blijft u een voorkeursleverancier, ofwel kunt u de vereiste garanties niet bieden en zullen financiële klanten gedwongen zijn de samenwerking te beëindigen.
Welke ICT-bedrijven vallen onder DORA?
De definitie van “ICT-derde aanbieder” is breed. U valt eronder als u digitale diensten levert aan de financiële sector, waaronder:
Cloud computing: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) en Software as a Service (SaaS).
Softwarelicenties en onderhoud: Leveranciers van kernbanksystemen, boekhoudpakketten, risicomanagementtools of handelsplatformen. Ook on-premise software valt hieronder zodra er sprake is van onderhouds- of supportcontracten.
Data-analyse en informatiediensten: Marktdata, kredietinformatie of algoritmes voor fraudedetectie.
Managed Services: Partijen die IT-infrastructuur beheren, Security Operations Centers (SOC’s) uitbaten of werkplekbeheer verzorgen.
Datacenters: Colocatie en connectiviteitsdiensten.
De intensiteit van de regeldruk hangt af van hoe kritiek uw dienst is voor de financiële klant. Ondersteunt uw software kernprocessen zoals betalingsverwerking of compliance-rapportage? Dan wordt u als leverancier van een “kritieke of belangrijke functie” beschouwd — met navenant strengere eisen.
Verplichte contractclausules onder DORA: wat uw klant zal eisen
Artikel 30 van DORA verplicht financiële instellingen om specifieke clausules op te nemen in contracten met ICT-leveranciers. Dit betekent dat uw standaardcontract niet langer volstaat. Verwacht dat uw financiële klanten de volgende elementen zullen afdwingen:
Volledige dienstbeschrijving: Vage omschrijvingen zoals “diverse IT-diensten” zijn verboden. Het contract moet exact beschrijven welke functies u levert.
Locatie van data: U moet expliciet aangeven in welke landen data wordt verwerkt en opgeslagen. Werklast verplaatsen naar een ander datacenter zonder voorafgaande goedkeuring? Dat kan niet meer.
Harde SLA’s: “Best effort” is voor kritieke functies onacceptabel. Verwacht kwantitatieve eisen over beschikbaarheid, hersteltijden (RTO/RPO) en integriteit.
Audit- en inspectierecht: De leverancier moet de financiële klant én haar toezichthouders onbeperkt recht geven op toegang tot systemen, processen en locaties. Dit is vaak het zwaarste onderhandelingspunt.
Medewerking bij incidenten: U moet zich contractueel verplichten om mee te werken aan het oplossen van security-incidenten, ongeacht de schuldvraag.
Wat u moet bewijzen aan uw financiële klanten
De relatie verschuift van vertrouwen naar verificatie. Financiële instellingen zullen een “DORA Compliance Pack” verlangen voordat ze tekenen. Dit bewijspakket bestaat uit diverse lagen:
Governance en certificeringen: Hoewel DORA niet expliciet ISO 27001 voorschrijft, is certificering tegen ISO 27001 of SOC 2 Type II in de praktijk de standaard geworden. Het fungeert als een paspoort dat uw basiscompliance aantoont.
Incident management: U moet bewijzen dat u een proces heeft om significante incidenten binnen 30 tot 60 minuten te detecteren en te melden. Na een incident verwacht de klant een gedetailleerde Root Cause Analysis.
Business continuity: Het hebben van een plan is niet genoeg — het moet getest zijn. Klanten vragen naar de resultaten van uw laatste Disaster Recovery test en naar bewijzen dat er geen Single Point of Failure is.
Patch management: U moet aantonen dat u beveiligingsupdates tijdig installeert. Klanten kunnen SLA’s eisen zoals “kritieke patches binnen 24 uur, hoge prioriteit binnen 72 uur”.
Software Bill of Materials (SBOM): Klanten vragen steeds vaker welke componenten uw software bevat. Dit is cruciaal om snel te bepalen of u kwetsbaar bent bij een grootschalig lek in een open-source bibliotheek.
De sub-outsourcing valstrik: uw eigen leveranciers in beeld
Veel ICT-bedrijven bouwen hun diensten bovenop andere diensten. Een SaaS-applicatie draait bijvoorbeeld op AWS en gebruikt externe API’s voor authenticatie. DORA verplicht u om:
Volledige transparantie te bieden: U moet uw klant inzicht geven in uw eigen supply chain voor zover die kritieke functies ondersteunt. Dit betekent dat u deels moet prijsgeven wie uw onderaannemers zijn.
Een vetorecht te accepteren: De financiële klant krijgt het recht om bezwaar te maken tegen wijzigingen in uw sub-outsourcing. Wisselen van hostingprovider zonder goedkeuring kan leiden tot contractbeëindiging.
Eisen door te leggen: Als de bank auditrecht bij u heeft, moet u zelf auditrecht bedingen bij uw hostingprovider. Voor kleine leveranciers die afhankelijk zijn van grote cloudpartijen is dit een serieuze onderhandelingsuitdaging.
DORA, NIS2 en de Cyber Resilience Act: hoe verhouden ze zich?
Als ICT-leverancier krijgt u mogelijk met meerdere regelgevingen te maken. De goede nieuws: ze overlappen deels, dus inspanningen voor de ene wet helpen bij de andere.
DORA versus NIS2: Voor financiële entiteiten is DORA de specifiekere wet (lex specialis). Als u voldoet aan de strengere DORA-eisen, voldoet u doorgaans ook aan NIS2. Let wel op dubbele rapportageplichten: onder NIS2 meldt u incidenten aan de CSIRT, onder DORA aan uw financiële klanten.
DORA versus Cyber Resilience Act (CRA): De CRA richt zich op producten met digitale elementen. Een softwareleverancier die CRA-compliant is (CE-markering), heeft daarmee een krachtig bewijsstuk voor DORA. Het vervangt honderden ad-hoc vragen door één gestandaardiseerd keurmerk.
Wat betekent dit voor uw business?
DORA is niet louter een compliance-oefening — het is een strategische marktfactor met directe impact op uw concurrentiepositie.
Kostendruk: Certificeringen, 24/7 monitoring en juridische reviews drijven de operationele kosten op. Veel leveranciers introduceren “DORA-compliant” tiering in hun prijsmodellen.
Marktconsolidatie: Kleine leveranciers die de vereiste audits en rapportages niet kunnen leveren, dreigen uit de markt gedrukt te worden. Banken kiezen liever voor een grote partij met de papieren op orde dan voor een innovatieve maar risicovolle kleine speler.
Concurrentievoordeel: De keerzijde? Wie wél investeert in DORA-compliance creëert een stevige gracht rond zijn business. U wordt een “veilige haven” voor financiële klanten — een krachtig verkoopargument.
Concrete stappen om DORA-ready te worden
Wacht niet tot uw klant met een contractaddendum komt. Bouw proactief een DORA-dossier op:
Identificeer uw exposure: Breng in kaart welke klanten onder DORA vallen. Vraag hen of uw dienst als “kritiek of belangrijk” is geclassificeerd.
Review uw contracten: Controleer bestaande contracten op de Artikel 30-vereisten. Bereid juridische templates voor om auditrechten, SLA’s en exit-strategieën te integreren.
Versterk uw operatie: Implementeer een proces voor 24/7 incidentmelding. Test uw Disaster Recovery plan en documenteer de resultaten. Update uw patch management beleid met focus op zero-days.
Breng uw supply chain in kaart: Welke onderaannemers ondersteunen uw kritieke functies? Zorg dat u DORA-eisen ook aan hen kunt opleggen via back-to-back contracten.
Valideer extern: Plan een penetratietest door een gecertificeerde partij. Verzamel bewijsstukken voor de aanstaande due diligence vragenlijsten van uw klanten.
Cyberplan helpt u DORA-ready te worden
Als Vlaamse cybersecurity partner begrijpen wij de uitdagingen waar ICT-bedrijven voor staan. Van gap-analyses en penetratietesten tot het opzetten van incident response processen: wij ondersteunen u bij elke stap richting DORA-compliance.
Onze OSCP-gecertificeerde pentesters testen uw systemen volgens de standaarden die financiële toezichthouders verwachten. En via de KMO-portefeuille kunt u tot 45% subsidie krijgen op uw cybersecurity-investeringen.
Wilt u weten hoe DORA-ready uw organisatie is? Boek een vrijblijvende kennismaking en we brengen samen uw gaps in kaart.
[CTA: Plan een kennismaking]
Veelgestelde vragen over DORA voor ICT-leveranciers
Moet mijn softwarebedrijf voldoen aan DORA als ik aan banken lever?
Ja, als u digitale diensten levert aan financiële instellingen, krijgt u via contractuele verplichtingen dezelfde eisen opgelegd. DORA verplicht banken om strenge clausules op te nemen in leverancierscontracten, inclusief auditrechten en SLA-garanties.
Welke certificeringen heb ik nodig voor DORA-compliance?
DORA schrijft geen specifieke certificeringen voor, maar ISO 27001 of SOC 2 Type II zijn in de praktijk de standaard geworden. Deze certificeringen fungeren als “paspoort” om aan te tonen dat uw governance op orde is.
Wat is het verschil tussen DORA en NIS2 voor ICT-leveranciers?
DORA is specifiek voor de financiële sector en gaat verder dan NIS2. Als u voldoet aan DORA-eisen, voldoet u doorgaans ook aan NIS2. Let wel op dubbele rapportageplichten bij incidenten.
Kan een bank mijn sub-leveranciers weigeren onder DORA?
Ja, financiële klanten krijgen vetorecht over wijzigingen in uw sub-outsourcing. Als u wisselt van hostingprovider, kan de bank bezwaar maken of het contract beëindigen als zij de nieuwe provider te risicovol achten.
Wat gebeurt er als ik niet DORA-compliant ben?
Financiële instellingen zijn wettelijk verplicht om leveranciers te selecteren die aan de eisen voldoen. Kunt u de vereiste garanties niet bieden, dan worden klanten gedwongen de samenwerking te beëindigen of niet aan te gaan.
Hoe snel moet ik incidenten melden onder DORA?
De exacte termijnen worden contractueel vastgelegd, maar verwacht dat klanten eisen dat u significante incidenten binnen 30 tot 60 minuten na detectie meldt. Banken moeten zelf binnen 4 uur rapporteren aan toezichthouders.
