DORA uitgelegd: impact op software-aankoop in de financiële sector
DORA is vanaf 17 januari 2025 van kracht en verandert fundamenteel hoe financiële organisaties software aankopen en contracteren. Dit is alles wat je moet weten over de vijf pijlers, de contractuele vereisten en de impact op leveranciersbeheer.
- 1 februari 2025
- 5 min
- DORA – Digital Operational Resilience Act
DORA, de Digital Operational Resilience Act, is vanaf 17 januari 2025 van kracht in alle EU-lidstaten. Voor financiële organisaties en hun ICT-leveranciers verandert er fundamenteel iets: digitale weerbaarheid is geen intern IT-vraagstuk meer, maar een gereguleerde bedrijfsverplichting met toezicht en boetes.
Wat is DORA?
DORA is een EU-verordening, geen richtlijn, maar direct toepasbare wetgeving, die de digitale operationele weerbaarheid van de financiële sector regelt. De verordening maakt deel uit van het Digital Finance Package en geldt voor 20 categorieën financiële entiteiten, van banken en verzekeraars tot fintechs en cryptodienstverleners.
De vijf pijlers van DORA
DORA structureert haar vereisten rond vijf kerngebieden:
ICT-risicobeheer: Een uitgebreid kader voor het identificeren, classificeren en beheersen van ICT-risico’s
Incidentrapportage: Grote ICT-incidenten moeten binnen strikte tijdslimieten worden gerapporteerd aan toezichthouders
Testen van digitale weerbaarheid: Periodieke penetratietests en weerbaarheidsscenario’s voor kritieke systemen
Beheer van derdepartijrisico’s: Contractuele verplichtingen, leveranciersregisters en concentratierisicoanalyse
Informatie-uitwisseling: Proactief delen van dreigingsinformatie binnen de sector
Wat betekent DORA voor software-aankoop?
De vierde pijler, beheer van derdepartijrisico’s, heeft de directe impact op hoe financiële organisaties software aankopen en contracteren:
Contractuele minimumeisen: Elk ICT-contract moet clausules bevatten over SLA, incidentmelding, auditrechten, exitplan, datalocatie en continuïteit
ICT-leveranciersregister: Een actueel en volledig register van alle ICT-leveranciers is verplicht en moet beschikbaar zijn voor toezichthouders
Concentratierisico: Te grote afhankelijkheid van één leverancier (bijv. één cloudprovider) moet worden geëvalueerd en gerapporteerd
Subcontractors: Ook toeleveranciers van je leveranciers vallen binnen de DORA-scope
SoftVaro helpt financiële organisaties hun softwarelandschap in kaart te brengen en contracten DORA-conform te maken.
Veelgestelde vragen
De meest gestelde vragen over dit onderwerp.
Voor wie geldt DORA?
DORA geldt voor banken, verzekeraars, beleggingsinstellingen, betalingsinstellingen, cryptodienstverleners, pensioenfondsen en alle ICT-leveranciers die kritieke diensten leveren aan deze instellingen.
Geldt DORA ook voor mijn softwareleverancier?
Ja. Als je software of ICT-diensten levert aan een financiële instelling die onder DORA valt, ben je als ICT-leverancier verplicht om te voldoen aan de contractuele DORA-vereisten die de financiële instelling aan jou oplegt. Kritieke ICT-leveranciers kunnen ook rechtstreeks onder EU-toezicht vallen.
Wat zijn de boetes bij niet-naleving van DORA?
Boetes kunnen oplopen tot 2% van de totale wereldwijde jaaromzet. Voor kritieke ICT-leveranciers die rechtstreeks onder EU-toezicht vallen, gelden aanvullende sancties.
Klaar om te besparen op software?
SoftVaro onderhandelt namens jou de scherpste deal bij 4.000+ leveranciers. Onafhankelijk, transparant, binnen 24 uur.