De vierde pijler van DORA — ICT-derdenrisico (Art. 28–44) — is degene die de meeste financiële entiteiten in de praktijk het sterkst voelen, want bijna iedereen besteedt iets uit. Twee verplichtingen domineren het dagelijks werk: een register van informatie bijhouden over elk ICT-contract, en de juiste contractclausules opnemen. Deze gids ontleedt beide. Voor de relatie tussen DORA en NIS2, zie DORA vs NIS2.
Kort
- Uitbesteding draagt de verantwoordelijkheid nooit over — u blijft volledig verantwoordelijk (Art. 28(1)(a)).
- Houd een register van informatie bij over alle ICT-contracten (Art. 28(3)).
- Contracten vereisen minimumclausules voor elke dienst (Art. 30(2)) en extra clausules voor kritieke of belangrijke functies (Art. 30(3)).
- « Kritieke of belangrijke functie » is een gedefinieerde term (Art. 3(22)) — het is de trigger voor het zware regime.
- Rapportagetermijnen worden op EU/nationaal niveau bepaald — de eerste nationale indieningen bij de ESA’s waren verschuldigd tegen 30 april 2025.
Het principe: u blijft verantwoordelijk (Art. 28)
Het uitgangspunt van DORA is botweg: een entiteit die ICT-derden inschakelt « blijft te allen tijde volledig verantwoordelijk » voor de naleving van haar verplichtingen (Art. 28(1)(a)). Evenredigheid geldt (Art. 28(1)(b)), maar de plichten zijn reëel: een derdenrisicostrategie aannemen, inclusief een beleid over ICT-diensten die kritieke of belangrijke functies ondersteunen (Art. 28(2)); een precontractuele beoordeling uitvoeren — kriticiteit, due diligence, concentratierisico, belangenconflicten (Art. 28(4)); alleen contracteren met aanbieders die passende informatiebeveiligingsnormen hanteren (Art. 28(5)); audit- en beëindigingsrechten veiligstellen (Art. 28(6)–(7)); en gedocumenteerde, geteste exitstrategieën bijhouden voor kritieke of belangrijke diensten (Art. 28(8)).
Het register van informatie (Art. 28(3))
U moet — op entiteits-, subgeconsolideerd en geconsolideerd niveau — een register bijhouden en actueel houden van alle contractuele regelingen voor ICT-diensten van derde aanbieders. Kernkenmerken:
- Onderscheid maken tussen contracten die kritieke of belangrijke functies ondersteunen en contracten die dat niet doen.
- Jaarlijkse rapportage aan uw bevoegde autoriteit over nieuwe regelingen, categorieën aanbieders, contracttypes en betrokken diensten/functies.
- Op verzoek verstrekken — het volledige register of gevraagde delen — aan de autoriteit.
- De autoriteit vooraf informeren over geplande regelingen die een kritieke of belangrijke functie ondersteunen, of wanneer een functie er een wordt.
De Europese toezichthoudende autoriteiten (ESA’s) publiceerden gestandaardiseerde sjablonen(technische uitvoeringsnormen) voor het register, zodat het formaat in de hele EU geharmoniseerd is. In de praktijk is het register ook de moeilijkste data-oefening in DORA: het dwingt een nauwkeurige, gestructureerde inventaris van elke ICT-afhankelijkheid af — daarom is vroeg beginnen belangrijk.
Contractclausules: Art. 30(2) vs Art. 30(3)
DORA onderscheidt twee niveaus van verplichte contractinhoud. Dit onderscheid goed maken is essentieel — de zware lijst op elk contract toepassen overbelast u, terwijl alleen de lichte lijst op een kritieke dienst toepassen u niet-conform maakt.
| Art. 30(2) — elk ICT-contract | Art. 30(3) — kritieke/belangrijke functies (aanvullend) |
|---|---|
| Duidelijke dienstbeschrijving; voorwaarden voor onderaanneming | Volledige SLA’s met precieze kwantitatieve & kwalitatieve doelen |
| Locaties voor dataverwerking/-opslag; kennisgeving van wijziging | Kennisgeving door aanbieder van elke ontwikkeling met materiële impact |
| Beschikbaarheid, integriteit, vertrouwelijkheid van data | Plicht om continuïteitsplannen te implementeren & testen |
| Toegang, herstel en teruggave van data bij exit/insolventie | Volledige deelname aan de threat-led penetratietests (TLPT) van de entiteit |
| Beschrijvingen van serviceniveaus; bijstand bij incidenten | Onbeperkte toegangs-, inspectie- en auditrechten (entiteit, derde, autoriteit) |
| Samenwerking met autoriteiten; beëindigings- & opzegrechten | Exitstrategie met een verplichte adequate overgangsperiode |
Voor micro-ondernemingen kunnen sommige auditrechten uit Art. 30(3) worden gedelegeerd aan een onafhankelijke derde. DORA moedigt ook het gebruik aan van standaardcontractbepalingen die door overheidsinstanties zijn ontwikkeld (Art. 30(4)).
De « kritieke of belangrijke functie » is de trigger (Art. 3(22))
Het is een gedefinieerde juridische term, geen vaag synoniem voor « belangrijk »: een functie waarvan de verstoring de financiële prestaties van de entiteit, of de soliditeit of continuïteit van haar diensten, of haar voortdurende naleving van haar vergunningsvoorwaarden materieel zou aantasten. De classificatie is het scharnierpunt van de hele pijler — ze activeert de clausules van Art. 30(3), de exitstrategieplicht (Art. 28(8)), de voorafgaande kennisgeving en de versterkte beoordeling van het concentratierisico (Art. 29). Classificeer uw functies bewust en documenteer de redenering.
Kritieke derde aanbieders (Art. 31 e.v.)
Afzonderlijk wijzen de ESA’s bepaalde ICT-aanbieders aan als kritieke derde aanbieders (CTPP)op EU-niveau, waardoor ze onder direct toezicht van een Lead Overseer (EBA, ESMA of EIOPA) komen. Let op: u wijst uw leverancier niet aan als kritiek — dat is een beslissing op EU-niveau op basis van systemische impact en substitueerbaarheid. Uw taak is het concentratierisico te beheren; de CTPP-aanwijzing is extern.
Deadlines — lees de kleine lettertjes
DORA zelf (Art. 64) maakte de verordening van toepassing vanaf 17 januari 2025, maar de indieningsdata van het register komen uit EU/nationale besluiten, niet uit de tekst van de verordening. Op grond van een gezamenlijk ESA-besluit van 8 november 2024 moesten nationale bevoegde autoriteiten de verzamelde registers tegen 30 april 2025 aan de ESA’s bezorgen, met als referentiedatum 31 maart 2025; nationale autoriteiten stelden hun eigen voorafgaande verzameltermijnen vast. Beschouw « 30 april 2025 » als een operationele datum op autoriteitsniveau — de termijn voor uw entiteit wordt door uw nationale autoriteit bepaald. Bevestig voor België het geldende tijdschema bij de NBB/FSMA.
Een pragmatisch startplan
- Inventariseer elk ICT-contract — dit is de ruggengraat van het register en de langste taak.
- Classificeer functies als kritiek/belangrijk of niet, met gedocumenteerde redenering (Art. 3(22)).
- Controleer contracten op hiaten tegen Art. 30(2) en, waar relevant, Art. 30(3); plan heronderhandelingen.
- Stel exitstrategieën op voor kritieke of belangrijke diensten en test ze.
- Vul het ESA-sjabloon in en stem het af op het rapportageschema van uw autoriteit.
Algemene informatie op basis van Verordening (EU) 2022/2554, geen juridisch advies; niveau-2-normen en rapportagedata evolueren — verifieer details bij de NBB/FSMA. ICTLAB helpt Belgische financiële entiteiten het register op te bouwen, functies te classificeren en contracten te remediëren — bekijk onze cybersecuritydiensten of neem contact op met ons team.