Ga naar inhoud

Regelgeving EU ·

DORA 2026: wat ICT-dienstverleners aan de financiële sector moeten aantonen

Mei 2026. De Digital Operational Resilience Act (DORA) geldt voor financiële entiteiten én kritieke ICT-leveranciers. Nederlandse softwarehuizen, cloudpartijen en MSP’s merken dat inkoop en risicomanagement veel scherper vragen stellen dan een klassieke ISO 27001-vragenlijst.

Wat verandert voor ICT-leveranciers?

  • contracten met clausules over beschikbaarheid, incidentmelding, penetratietesten en exit;
  • toegang tot auditrechten of assurance-rapporten (ISO 27001, SOC 2, ISAE);
  • registratie als kritieke ICT-dienstverlener wanneer u essentiële functies ondersteunt;
  • verscherpte eisen voor kwetsbaarheidsbeheer en ketenconcentratie.

Drie snelle wins

  1. Map welke klanten u als kritiek aanmerken — per contract.
  2. Leg incident- en escalatiecontacten vast en oefen een melding.
  3. Koppel maatregelen aan ISMS en risicoregister.

Relatie met ISO 27001

ISO 27001 helpt operationeel: scope, Annex A, interne audit, management review. DORA voegt financiële keten, exit en toezichts-taal toe. Meer: DORA uitleg, DORA compliance hub en leveranciersbeheer.

Financiële inkopers vragen in 2026 expliciet om exit-plannen, concentratierisico en penetratietest-scope die aansluit op contractuele diensten. Leg per klant vast welke DORA-artikelen relevant zijn en welk bewijs u jaarlijks levert — zo voorkomt u ad-hoc audits zonder voorbereiding.

Incidentmelding onder DORA vereist snelle escalatie en soms 24/7 bereikbaarheid. Test dat met een tabletop samen met uw SOC of MSP. Documenteer tijdstempels en besluiten — auditors vergelijken die met contract-SLA’s.

Kritieke ICT-dienstverleners moeten registratie en toezicht verwachten. Bereid een register van diensten, afhankelijkheden en subleveranciers dat u ook voor ISO 27001 leveranciersbeheer kunt gebruiken.

Als ICT-leverancier in de financiële keten

Software- en cloudleveranciers merken dat financiële klanten contracten herzien met DORA-clausules over beschikbaarheid, incidentmelding, testen en exit. Bereid een standaardpakket assurance-bewijs: ISO 27001-certificaat of roadmap, pentest-samenvatting, BCM-overzicht en contactgegevens voor 24/7 escalatie.

Concentratierisico is een terugkerend thema: grote banken willen weten welke subleveranciers u inzet en hoe u uitval daar afvangt. Onderhoud een register dat u ook voor ISO 27001 leveranciersbeheer gebruikt.

Exit en dataportabiliteit worden contractueel — documenteer formaten, termijnen en welke data bij beëindiging van de klant blijft. Dat overlapt met AVG en EU Data Act-verwachtingen.

Test incidentmelding met uw grootste financiële klant minstens jaarlijks. Tijdstempels en named contacts in het verslag zijn bewijs dat auditors en toezichthouders willen zien.

Wijs een named account manager voor incident-escalatie bij financiële klanten — generieke supportlijnen voldoen seldom aan contract-SLA’s. Leg rollen vast in het ISMS en oefen handover tussen support, SOC en management.

Exit en concentratierisico documenteren

DORA benadrukt exit-strategieën en ketenconcentratie: wat gebeurt er wanneer een kritieke leverancier uitvalt of failliet gaat? Leg alternatieven, datamigratie en contractuele exit-termijnen vast — ook wanneer u zelf de leverancier bent.

Financiële klanten vragen named contacts voor incident-escalatie, niet generieke supportlijnen. Oefen handover tussen support, SOC en management en documenteer responstijden.

Koppel DORA-bewijs aan ISO 27001 leveranciersregister en risicoregister. Tag per klant wat DORA-specifiek is zodat u niet voor elke audit opnieuw begint.

Vervolgstappen in uw ISMS

Vertaal dit artikel naar één concrete actie in uw risicoregister of verbeterplan: eigenaar, deadline, gewenst bewijs. Bespreek voortgang in het eerstvolgende management review-overleg — auditors en ketenpartners willen besluiten zien, niet alleen beleidsintentie. Koppel waar mogelijk aan bestaande ISO 27001-, NIS2- of AVG-documentatie zodat u geen parallelle mappen onderhoudt.

Heeft u vragen over scope, certificering of keteneisen? Gebruik onze readiness-overzicht en kennisbank-pagina’s voor diepere guidance. Dit artikel vervangt geen juridisch of auditorisch advies voor uw specifieke situatie.

Deel relevante bevindingen kort met lijnmanagement en inkoop — compliance wordt pas werkbaar wanneer de hele organisatie dezelfde prioriteiten herkent. Herhaal de gekozen actie kwartaal in teamoverleg en update evidence-locaties in uw SoA of controleplan zodat surveillance steekproeven snel te beantwoorden zijn.

Wat doet u deze week?

Kies één concreet actiepunt uit dit artikel, wijs een eigenaar en zet het in uw risico- of verbeterregister met deadline. Deel het kort in teamoverleg — zo wordt compliance iets wat de lijn herkent. Herhaal dit kwartaal in management review zodat bestuur voortgang ziet, niet alleen intentie.

Let op: dit artikel is educatief en vervangt geen juridisch, privacy- of auditorisch advies voor uw specifieke situatie.

Bewijs en governance

Leg vast wie eigenaar is van de maatregelen uit dit artikel en hoe u werking aantoont in de steekproefperiode — logs, tickets, goedgekeurde changes of oefenverslagen. Certificerende instellingen en ketenpartijen accepteren geen intentie zonder sample. Koppel evidence-locaties aan uw SoA of controleplan zodat interne en externe audit dezelfde bronnen gebruiken.

Verdiep in de kennisbank

Bekijk ISO Ready als praktisch ISMS

Vergelijk software, consultant en hybride aanpak — zonder agressieve vendor-bashing.

Vergelijk met ISO Ready

← Terug naar overzicht