DORA vraagt een register van ICT-derde partijen, hoe leg ik dat aan?

DORA verplicht financiele entiteiten een actueel register van alle ICT-derde-partij dienstverleners, met onderscheid in kritieke en niet-kritieke diensten. Voor mkb-leveranciers betekent dat strakke datalevering aan klanten.

Probeer dit eerst zelf

1. 1Lever per dienst minimaal: jouw entiteitsgegevens (naam, KvK, LEI als beschikbaar), beschrijving van de dienst, locatie van data en personeel, sub-leveranciers en concentratie op andere leveranciers.
2. 2Markeer of jouw dienst kritiek of belangrijk is voor de klant. Dat oordeel doet de financiele entiteit, maar jouw input over impact bij uitval helpt de classificatie.
3. 3Stem contractueel af op DORA-eisen: incident-meldtermijnen, audit-recht, exit-plan, data-portabiliteit, sub-uitbestedingsregels. Veel financiele klanten sturen DORA-addenda toe.
4. 4Bouw een proces voor wijzigingen. Verandert je sub-verwerker, je hostingland of je security-baseline, dan moet de klant dat tijdig in zijn register kunnen verwerken.
5. 5Test een DORA-incident-scenario samen met een grote klant. Een keer doen leert je waar je rapportage en kanalen tekortschieten.

Past het bovenstaande niet?

Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.