EU Regulatory Intelligence — by YRproject

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Uitleg

Derden-ICT-risico onder DORA: contracten, register en oversight

Vastgesteld 2026-06-28 · ≈ 1 min lezen · Dirk Baaijen

DORA stelt eisen aan uitbesteding van ICT: verplichte contractbepalingen, een informatieregister van alle ICT-dienstverleners, en een Europees oversightkader voor als kritiek aangemerkte ICT-dienstverleners.

Kort antwoord: DORA behandelt uitbesteed ICT-risico als uw eigen risico. U moet verplichte contractbepalingen opnemen met ICT-dienstverleners, een informatieregister bijhouden van alle contractuele afspraken, en houden rekening met een Europees oversightkader voor ICT-dienstverleners die als kritiek zijn aangemerkt (CTPP's).

Contractuele eisen

Contracten met ICT-dienstverleners moeten kernafspraken bevatten: dienstomschrijving en locaties van dataverwerking, toegangs-, inspectie- en auditrechten, beveiligings- en beschikbaarheidsniveaus, medewerking bij incidenten, exit-strategieën en ondersteuning bij beëindiging. Voor diensten die kritieke of belangrijke functies ondersteunen gelden zwaardere eisen. Beoordeel concentratierisico voordat u tekent.

Het informatieregister

U houdt een register of information bij met al uw contractuele afspraken over ICT-diensten, op entiteits-, sub-geconsolideerd en geconsolideerd niveau. Toezichthouders vragen dit register periodiek op (jaarlijks). Het register is ook uw eigen stuurinstrument: het maakt afhankelijkheden en concentratie zichtbaar.

Oversight van kritieke dienstverleners

Grote, systeemrelevante ICT-dienstverleners (denk aan sommige cloud- en dataproviders) kunnen door de ESA's worden aangewezen als kritiek. Voor hen geldt een direct Europees oversightkader met een aangewezen lead overseer. Dat ontslaat u niet van uw eigen verantwoordelijkheid, maar voegt een toezichtslaag toe op de keten.

Lees ook: DORA-wegwijzer en Weerbaarheidstesten en TLPT.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2022/2554/oj
    Verordening (EU) 2022/2554 (DORA), hoofdstuk V — beheer van ICT-derderisico en oversightkader voor kritieke ICT-dienstverleners.
  2. https://www.eba.europa.eu/regulation-and-policy/digital-operational-resilience-dora
    ESA's — ITS voor het register of information en RTS over contractuele eisen.

Deel op LinkedIn

Lees ook

U

DORA informatieregister (register of information): wat moet erin?

DORA verplicht financiële entiteiten een informatieregister bij te houden van álle contractuele afspraken over ICT-diensten, op entiteits-, sub-geconsolideerd en geconsolideerd niveau. Toezichthouders vragen het jaarlijks op; het voedt ook de aanwijzing van kritieke ICT-dienstverleners.

U

Valt mijn instelling onder DORA?

DORA geldt voor een limitatief opgesomde lijst van financiële entiteiten — van banken en verzekeraars tot betaalinstellingen, crypto-aanbieders en hun kritieke ICT-dienstverleners. Kleine, niet-verweven entiteiten mogen een vereenvoudigd kader voeren. Deze uitleg helpt je bepalen of je eronder valt.

W

AI- en digitale regels voor de financiële sector — overzicht

Eén ingang voor banken, verzekeraars en fintech: welke AI- en digitale regels raken jouw instelling — van DORA en de AI Act tot kredietscoring, AML en verzekeringen — met per onderwerp een bron-herleidbaar dossier en de financiële scan.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.