DORA uitgelegd: impact op softwareaankoop in de financiële sector
DORA is vanaf 17 januari 2025 van kracht en verandert fundamenteel hoe financiële organisaties software aankopen en contracteren. Dit is alles wat je moet weten over de vijf pijlers, de contractuele vereisten en de impact op leveranciersbeheer.
- 1 februari 2025
- 5 min
- DORA – Digital Operational Resilience Act
DORA, de Digital Operational Resilience Act, is vanaf 17 januari 2025 van kracht in alle EU-lidstaten. Voor financiële organisaties en hun ICT-leveranciers verandert er fundamenteel iets: digitale veerkracht is geen intern IT-vraagstuk meer, maar een gereguleerde bedrijfsverplichting met toezicht en boetes.
Wat is DORA?
DORA is een EU-verordening, geen richtlijn, maar direct toepasbare wetgeving, die de digitale operationele weerbaarheid van de financiële sector reguleert. De verordening maakt deel uit van het Digital Finance Package en geldt voor 20 categorieën financiële entiteiten, van banken en verzekeraars tot fintechs en cryptodienstverleners.
De vijf pijlers van DORA
DORA structureert haar vereisten rond vijf kerngebieden:
ICT-risicobeheer: Een uitgebreid kader voor het identificeren, classificeren en beheren van ICT-risico's
Incidentrapportage: Grote ICT-incidenten moeten binnen strikte termijnen gerapporteerd worden aan toezichthouders
Testen van digitale weerbaarheid: Periodieke penetratietests en veerkrachtscenario's voor kritieke systemen
Beheer van derdepartijrisico's: Contractuele verplichtingen, leveranciersregisters en analyse van concentratierisico's
Informatie-uitwisseling: Proactief delen van dreigingsinformatie binnen de sector
Wat betekent DORA voor softwareaankoop?
De vierde pijler, beheer van derdepartijrisico's, heeft directe impact op hoe financiële organisaties software aankopen en contracteren:
Contractuele minimumeisen: Elk ICT-contract moet clausules bevatten over SLA, incidentmelding, auditrechten, exitplan, datalocatie en continuïteit
ICT-leveranciersregister: Een actueel en volledig register van alle ICT-leveranciers is verplicht en moet beschikbaar zijn voor toezichthouders
Concentratierisico: Te grote afhankelijkheid van één leverancier (bijv. één cloudprovider) moet geëvalueerd en gerapporteerd worden
Subcontractors: Ook toeleveranciers van jouw leveranciers vallen binnen de DORA-scope
SoftVaro helpt financiële organisaties hun softwarelandschap in kaart te brengen en contracten DORA-conform te maken.
Veelgestelde vragen
De meest gestelde vragen over dit onderwerp.
Voor wie geldt DORA?
DORA geldt voor banken, verzekeraars, beleggingsinstellingen, betalingsinstellingen, cryptodienstverleners, pensioenfondsen en alle ICT-leveranciers die kritieke diensten leveren aan deze instellingen.
Geldt DORA ook voor mijn softwareleverancier?
Ja. Als je software of ICT-diensten levert aan een financiële instelling die onder DORA valt, ben je als ICT-leverancier verplicht te voldoen aan de contractuele DORA-vereisten die de financiële instelling aan jou oplegt. Kritieke ICT-leveranciers kunnen ook rechtstreeks onder EU-toezicht vallen.
Wat zijn de boetes bij niet-naleving van DORA?
Boetes kunnen oplopen tot 2% van de totale wereldwijde jaaromzet. Voor kritieke ICT-leveranciers die rechtstreeks onder EU-toezicht vallen, gelden bijkomende sancties.
Klaar om te besparen op software?
SoftVaro onderhandelt namens jou de scherpste deal bij 4.000+ leveranciers. Onafhankelijk, transparant, binnen 24 uur.