Sinds 17 januari 2025 dienen financiële instellingen te voldoen aan de vereisten van DORA (Digital Operational Resilience Act). Dit heeft tot gevolg (gehad) dat ook veel ICT-leveranciers worden geconfronteerd met aanvullende voorwaarden die hen worden opgelegd. In de praktijk zien wij steeds vaker dat financiële instellingen DORA aangrijpen om bestaande contracten te heronderhandelen, ook op punten die niet (zo strikt) in DORA staan. Op basis van onze ervaring – en uiteraard de wet – zullen wij een aantal specifieke vraagstukken uitwerken, waarin we ook enkele van de genoemde “strategieën” bespreken.

Achtergrond

Cyberaanvallen en technologische verstoringen hebben de afgelopen jaren steeds vaker impact gehad op de dienstverlening van financiële instellingen. Tegelijkertijd neemt de afhankelijkheid van externe ICT-dienstverleners toe, bijvoorbeeld voor cloudoplossingen, datacenters, cybersecurity en softwareontwikkeling.

Om de digitale weerbaarheid van de financiële sector te versterken, is de Digital Operational Resilience Act (DORA) ingevoerd. Deze Europese verordening stelt strenge eisen aan (de ICT-infrastructuur van) financiële instellingen en heeft directe gevolgen voor de ICT-dienstverleners waarmee zij samenwerken.

Vraag 1: is DORA (op mijn klant) van toepassing?

DORA is van toepassing zodra een ICT-dienstverlener diensten levert aan een financiële instelling binnen de EU. Een instelling zal zelf moeten nagaan of zij een financiële instelling is onder DORA. In dit verband voorziet de wet in een uitgebreid toetsingskader. Met name voor afgeleide diensten – zoals (kleinere) investeringsmaatschappijen – is de toepasselijkheid van DORA niet altijd evident. Het kan daarom goed zijn om als ICT-dienstverlener de vraag te stellen aan de klant of zij haar assessment ten aanzien van toepasselijkheid kan delen.

Wanneer een instelling kwalificeert als financiële instelling onder DORA en er sprake is van uitbestede ICT-dienstverlening, dan dienen de risico’s van de samenwerking meegenomen te worden in het ICT-risicobeheer. Hoewel de formele verantwoordelijkheid voor naleving van DORA bij de financiële instelling ligt, zal de financiële instelling deze in de praktijk altijd bij de ICT-dienstverlener (contractueel) moeten afdwingen. De contractuele afspraken zijn vrij concreet uitgewerkt in DORA en worden verderop in dit artikel nader toegelicht.

Kritieke en niet-kritieke ICT-dienstverleners

DORA maakt onderscheid tussen i) reguliere ICT-dienstverleners en ii) kritieke derde aanbieders van ICT-diensten. Dit onderscheid is van groot belang, omdat op kritieke ICT-dienstverleners aanmerkelijk meer vereisten van toepassing zijn dan op reguliere dienstverleners. Financiële instellingen leggen naar ons oordeel soms te snel de kwalificatie “kritiek” op hun dienstverleners.

Kritieke dienstverleners zijn dienstverleners die ICT-diensten leveren waarvan een verstoring – gezien de omvang, verwevenheid, complexiteit of grensoverschrijdende aard van de betrokken financiële instelling – aanzienlijke gevolgen kan hebben voor de continuïteit van essentiële processen of zelfs de stabiliteit van de financiële sector in gevaar kan brengen. Deze kwalificatie wordt (mede) bepaald door de Europese toezichthoudende autoriteiten (in Nederland de Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB)) op basis van factoren zoals de systeemrelevantie, de mate van afhankelijkheid van financiële instellingen en de vervangbaarheid van de diensten.

Tip 1!

Een eerste advies aan ICT-dienstverlening is dan ook om hun rol kritisch te beoordelen, waarbij niet zomaar de kwalificatie van de (afnemende) financiële instelling wordt gevolgd.

Vraag 2: wat zijn de algemene contractuele vereisten?

DORA bevat een concreet kader aan verplichtingen, die zich relatief duidelijk laten vertalen naar contractuele bepalingen. In onze ervaring worden onder de noemer “DORA-verplichting” nogal eens verplichtingen geschoven die niet direct uit DORA volgen. In dat geval is het doel om gunstigere voorwaarden voor de financiële instelling vast te leggen dan strikt noodzakelijk is.

Tip 2!

Wij adviseren ICT-dienstverleners tijdig zelf na te gaan of hun algemene voorwaarden voldoen aan DORA, zodat voorgestelde (verdergaande) aanpassingen van de hand kunnen worden gewezen. IT-leveranciers zullen zich tenminste een duidelijk beeld moeten vormen over wat de ondergrens is die DORA voorschrijft, om adequaat over de nieuwe algemene voorwaarden te kunnen onderhandelen.

De basisvereisten

Artikel 30 van DORA verplicht financiële instellingen om duidelijke, gedetailleerde en afdwingbare afspraken te maken met hun ICT-dienstverleners. Deze basisverplichtingen gelden voor alle ICT-dienstverleners, ongeacht of zij als kritisch of niet-kritisch zijn aangemerkt. De belangrijkste onderwerpen die in de overeenkomst moeten worden opgenomen, zijn:

• Een duidelijke beschrijving van de geleverde diensten, inclusief eventuele uitbesteding aan onderaannemers;
• Afspraken over dienstlocaties en verplichte voorafgaande kennisgeving bij wijziging;
• Bepalingen over gegevensbescherming;
• Zekerheid over toegang en overdracht van gegevens bij beëindiging of insolventie;
• Beschrijving van dienstenniveaus (bijvoorbeeld via SLA’s) met meetbare prestatie-indicatoren;
• Verplichte kosteloze ondersteuning bij ICT-incidenten;
• Verplichting tot volledige medewerking aan toezicht door autoriteiten;
• Beëindigingsrechten en de bijhorende minimumopzegtermijn; en
• Voorwaarden voor deelname aan ICT-bewustwordingsprogramma’s van de financiële instelling.

Aanvullende verplichtingen kritieke ICT-dienstverleners

Indien een ICT-dienstverlener wordt aangemerkt als kritieke derde aanbieder in de zin van DORA, is deze onderworpen aan een aanvullend ‘oversightkader’ (toezichtskader) zoals neergelegd in artikelen 31 tot en met 33 van de verordening.

Daarnaast zijn er onder andere de volgende aanvullende verplichtingen voor kritieke ICT-dienstverleners:

• Verplichting om samen te werken met de bevoegde toezichthouder en de toezichthouder toegang te verlenen tot relevante systemen, netwerken en informatie;
• Verplichting om passende beleidsmaatregelen en processen in te richten voor het beheer van operationele en beveiligingsrisico’s. Denk hierbij aan incidentmanagement en herstelprocedures;
• Het onverwijld melden van ernstige incidenten die mogelijk gevolgen hebben voor de dienstverlening aan financiële entiteiten;
• Verplicht meewerken aan periodieke toezichtonderzoeken, waaronder audits, interviews en inspecties ter plaatse; en
• Aanvullende contractuele vereisten, bijvoorbeeld op het gebied van transparantie, rapportage en medewerking aan penetratietests.

Praktische aandachtspunten voor compliance

Veel ICT-dienstverleners voldoen in de praktijk al grotendeels aan de verplichtingen die DORA stelt. Voor hen geldt dat het vaak voldoende is om een herbeoordeling uit te voeren van de bestaande standaardcontracten en algemene voorwaarden. Daarbij moet worden vastgesteld of de documenten daadwerkelijk voldoende zijn toegesneden op de specifieke verplichtingen die gelden voor de financiële instelling waarmee wordt samengewerkt.

Hoewel standaardclausules in algemene voorwaarden kunnen bijdragen aan de naleving van DORA, zijn deze doorgaans (te) generiek van aard. DORA vereist juist dat contractuele afspraken zijn afgestemd op de aard, omvang en het risicoprofiel van de financiële entiteit. Zonder voldoende detaillering bestaat het risico dat essentiële elementen — zoals auditrechten of exit strategieën — onvoldoende worden gewaarborgd.

Overigens zien wij dat er op verschillende punten nog onvoldoende praktische kaders zijn om algemene termen uit DORA te interpreteren. Een veel gebruikt argument luidt als volgt: “de toezichthouder zal dit waarschijnlijk onvoldoende vinden”. Wij adviseren dit argument niet zomaar te accepteren.  

Tip 3!

Een mogelijke oplossing wanneer partijen vanwege een open norm niet tot een vergelijk kunnen komen, is het toevoegen van een interpretatiebepaling die is gekoppeld aan de rechtsontwikkeling rondom DORA. Een voorbeeld van een dergelijke clausule:

“Partijen benadrukken dat de in dit artikel opgenomen beëindigingsgronden uitsluitend beogen uitvoering te geven aan artikel 28, lid 7 van Verordening (EU) 2022/2554 (DORA). Deze beëindigingsbevoegdheden dienen restrictief te worden uitgelegd, conform de strekking en beperkingen van het toepasselijke wettelijke kader. Partijen beogen derhalve geen verdergaande of aanvullende beëindigingsgronden overeen te komen dan dwingendrechtelijk op grond van DORA is vereist.”

Stappenplan

Onderstaand stappenplan kan ICT-dienstverleners op hoofdlijnen helpen bij het toetsen van hun compliance met DORA:

1. Bepaal of DORA op jouw diensten van toepassing is;
2. Beoordeel of je wordt aangemerkt als een “kritieke derde aanbieder”;
3. Voer een contractuele compliance-check uit;
4. Herzie de algemene voorwaarden en standaardcontracten;
5. Vraag juridisch advies bij twijfel en complexe situaties.

Direct juridisch advies

Louwers IP&Tech Advocaten heeft ruime ervaring in het adviseren en begeleiden bij IT- en digitaliseringsvraagstukken. Wilt u weten wat de gevolgen van DORA zijn voor uw onderneming? Neem vandaag nog contact met ons op en ontdek hoe wij u kunnen helpen. Neem vrijblijvend contact op met Frank Rutgers, Sven van Dooren, Lauren Wendrich of ons team via ons contactformulier.