DORA uitgelegd: impact op software-inkoop in de financiële sector
DORA is per 17 januari 2025 van kracht en verandert fundamenteel hoe financiële organisaties software inkopen en contracteren. Dit is alles wat je moet weten over de vijf pijlers, de contractuele vereisten en de impact op leveranciersbeheer.
- 1 februari 2025
- 5 min
- DORA – Digital Operational Resilience Act
DORA, de Digital Operational Resilience Act, is per 17 januari 2025 van kracht in alle EU-lidstaten. Voor financiële organisaties en hun ICT-leveranciers verandert er fundamenteel iets: digitale weerbaarheid is geen intern IT-vraagstuk meer, maar een gereguleerde bedrijfsverplichting met toezicht en boetes.
Wat is DORA?
DORA is een EU-verordening, geen richtlijn, maar direct toepasbare wetgeving, die de digitale operationele weerbaarheid van de financiële sector reguleert. De verordening valt onder het Digital Finance Package en geldt voor 20 categorieën financiële entiteiten, van banken en verzekeraars tot fintechs en cryptodienstverleners.
De vijf pijlers van DORA
DORA structureert haar vereisten rond vijf kerngebieden:
ICT-risicobeheer: Een uitgebreid raamwerk voor het identificeren, classificeren en beheersen van ICT-risico's
Incidentrapportage: Grote ICT-incidenten moeten binnen strakke tijdslijnen worden gerapporteerd aan toezichthouders
Testen van digitale weerbaarheid: Periodieke penetratietests en weerbaarheidsscenario's voor kritieke systemen
Beheer van derde-partijrisico's: Contractuele verplichtingen, leveranciersregisters en concentratierisico-analyse
Informatie-uitwisseling: Proactief delen van dreigingsinformatie binnen de sector
Wat betekent DORA voor software-inkoop?
De vierde pijler, beheer van derde-partijrisico's, heeft de directe impact op hoe financiële organisaties software inkopen en contracteren:
Contractuele minimumeisen: Elk ICT-contract moet clausules bevatten over SLA, incidentmelding, auditrechten, exitplan, datalocatie en continuïteit
ICT-leveranciersregister: Een actueel en volledig register van alle ICT-leveranciers is verplicht en moet beschikbaar zijn voor toezichthouders
Concentratierisico: Te grote afhankelijkheid van één leverancier (bijv. één cloudprovider) moet worden geëvalueerd en gerapporteerd
Subcontractors: Ook toeleveranciers van je leveranciers vallen binnen de DORA-scope
SoftVaro helpt financiële organisaties hun software-landschap in kaart te brengen en contracten DORA-compliant te maken.
Veelgestelde vragen
De meest gestelde vragen over dit onderwerp.
Voor wie geldt DORA?
DORA geldt voor banken, verzekeraars, beleggingsinstellingen, betalingsinstellingen, cryptodienstverleners, pensioenfondsen en alle ICT-leveranciers die kritieke diensten leveren aan deze instellingen.
Geldt DORA ook voor mijn softwareleverancier?
Ja. Als je software of ICT-diensten levert aan een financiële instelling die onder DORA valt, ben je als ICT-leverancier verplicht om te voldoen aan de contractuele DORA-vereisten die de financiële instelling aan jou oplegt. Kritieke ICT-leveranciers kunnen ook direct onder EU-toezicht vallen.
Wat zijn de boetes bij niet-naleving van DORA?
Boetes kunnen oplopen tot 2% van de totale wereldwijde jaaromzet. Voor kritieke ICT-leveranciers die rechtstreeks onder EU-toezicht vallen, gelden aanvullende sancties.
Klaar om te besparen op software?
SoftVaro onderhandelt namens jou de scherpste deal bij 4.000+ leveranciers. Onafhankelijk, transparant, binnen 24 uur.