DORA's ICT Leveranciersverplichtingen
De EU Digital Operational Resilience Act (DORA), van kracht vanaf januari 2025, vereist dat financiële instellingen — banken, verzekeringsmaatschappijen, beleggingsfirma's, betaaldienstverleners — rigoureuze ICT risicobeheerprogramma's voor derden implementeren. Belangrijke vereisten:
Verplichte contractuele bepalingen (Artikel 30): DORA specificeert verplichte clausules voor contracten met ICT-dienstverleners van derden, inclusief bepalingen voor volledige toegang, inspectie- en auditrechten; tijdlijnen voor incidentmelding; exitstrategieën; en prestatiestandaarden.
Jaarlijkse beoordelingen (Artikel 28): Financiële instellingen moeten due diligence uitvoeren op alle materiële ICT-dienstverleners van derden ten minste jaarlijks. "Materieel" is breed gedefinieerd — elke ICT-leverancier wiens verstoring de operaties significant zou beïnvloeden, inclusief anonymisatietools die worden gebruikt in compliance-workflows.
ICT derde partijenregister (Artikel 28(3)): Financiële instellingen moeten een register bijhouden en bijwerken van alle materiële ICT-overeenkomsten met derden, inclusief beveiligingsdocumentatie.
Het beheren van jaarlijkse herbeoordelingen van tientallen ICT-leveranciers is operationeel kostbaar. De typische schatting voor een ongestructureerde maatwerkbeoordeling: 40–80 uur per leverancier per jaar. Voor een Nederlandse bank met 50 materiële ICT-leveranciers vertegenwoordigen jaarlijkse beoordelingen 2.000–4.000 uur van de tijd van het compliance-team — het equivalent van één tot twee fulltime medewerkers die exclusief aan leveranciersbeoordeling zijn toegewezen.
De ISO 27001 Jaarlijkse Beoordeling Verkorting
De waarde van ISO 27001 certificering voor DORA-compliance is de jaarlijkse toezichtstructuur. Het certificeringsorgaan voert jaarlijks toezichtaudits uit en hercertificeringsaudits elke drie jaar. De certificering blijft geldig zolang de toezichtaudits voortdurende compliance bevestigen. Het certificaat zelf heeft een vervaldatum.
Voor DORA's jaarlijkse beoordelingsvereiste kan een financiële instelling voldoen aan de standaard "uitgevoerde due diligence" door jaarlijks het huidige ISO 27001-certificaat van de leverancier te trekken en de actualiteit ervan te verifiëren. Het certificaat toont aan dat een onafhankelijke auditinstantie de 93 beveiligingscontroles van de leverancier in het afgelopen jaar heeft beoordeeld. Dit bewijs wordt gedocumenteerd in het ICT derde partijenregister.
Een Nederlandse bank die onder DORA valt, kan een ISO 27001 gecertificeerde anonymisatieleverancier beoordelen door de actualiteit van het certificaat te verifiëren — wat uren in plaats van weken kost. De bank bespaart 60 uur beoordelings tijd per leverancier per jaar. Over 20 ISO 27001 gecertificeerde leveranciers in hun register vertegenwoordigt de jaarlijkse besparing 1.200 uur — genoeg om aanzienlijke compliance middelen opnieuw toe te wijzen.
DORA's Relevantie voor Privacytools
Privacy- en anonymisatietools zijn ICT-leveranciers onder DORA's reikwijdte voor financiële instellingen die deze gebruiken om klantgegevens te verwerken, te voldoen aan de GDPR, regelgevende indieningen voor te bereiden of KYC-documentatie te verwerken. Een anonymisatietool die klantgegevens verwerkt, is een materiële ICT-leverancier als de verstoring ervan de instelling zou beletten te voldoen aan de vereisten voor gegevensminimalisatie van de GDPR of het produceren van GDPR-conforme regelgevende indieningen.
Bronnen: