Wij leveren aan banken, raakt DORA ons?
DORA is sinds 17 januari 2025 in werking. Het richt zich op financiele entiteiten, maar via het regime voor "kritieke ICT-derde-partijen" en contracteisen werkt het door op leveranciers.
Probeer dit eerst zelf
- 1Bepaal of je klant een financiele entiteit is in de zin van DORA. Bank, verzekeraar, beleggingsonderneming, betaalinstelling, kredietinstelling. Dan komt DORA contractueel via hen.
- 2Verwacht een contract-update: incident reporting binnen vaste termijnen, audit-rechten voor de toezichthouder, exit-strategie, doorgifte-eisen.
- 3Bouw incident-detectie en -registratie op een niveau dat je binnen uren feiten kunt leveren. SLA-rapportage alleen is meestal te traag.
- 4Documenteer concentratie-risico. Als je sub-leveranciers gebruikt voor kernfunctionaliteit, moet je klant dat weten.
- 5Bewaar testbewijs. Penetratietests, scenario-tests en business-continuity-oefeningen vraagt je klant op.
Wanneer ons inschakelen
Word je aangemerkt als "kritieke ICT-derde-partij" door ESA, dan val je rechtstreeks onder toezicht. Dat is een ander spel; trek juridische en compliance-specialisten aan.
Zie ook
- Valt mijn bedrijf onder NIS2 of niet?Twee vragen bepalen het: zit je in een aangewezen sector, en heb je meer dan 50 medewerkers of meer dan 10 miljoen omzet. Daaronder val je alleen indirect, via je klanten.
- Wat verandert er met de Cyberbeveiligingswet?De Cyberbeveiligingswet is de NL-implementatie van NIS2. Inwerkingtreding loopt via de wetgevingsagenda van het ministerie van Justitie en Veiligheid, exacte datum volg je via NCSC.
- Ben ik als directeur persoonlijk aansprakelijk onder NIS2?Ja, het bestuur is verantwoordelijk voor goedkeuring en toezicht op de cybermaatregelen. Bij ernstige nalatigheid kan dat persoonlijk worden.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.