Wij leveren aan banken, raakt DORA ons?
DORA is sinds 17 januari 2025 in werking. Het richt zich op financiele entiteiten, maar via het regime voor "kritieke ICT-derde-partijen" en contracteisen werkt het door op leveranciers.
support/compliance-en-wetgeving/dora-mkb-leveranciersstappen: 5
Probeer dit eerst zelf
- Bepaal of je klant een financiele entiteit is in de zin van DORA. Bank, verzekeraar, beleggingsonderneming, betaalinstelling, kredietinstelling. Dan komt DORA contractueel via hen.
- Verwacht een contract-update: incident reporting binnen vaste termijnen, audit-rechten voor de toezichthouder, exit-strategie, doorgifte-eisen.
- Bouw incident-detectie en -registratie op een niveau dat je binnen uren feiten kunt leveren. SLA-rapportage alleen is meestal te traag.
- Documenteer concentratie-risico. Als je sub-leveranciers gebruikt voor kernfunctionaliteit, moet je klant dat weten.
- Bewaar testbewijs. Penetratietests, scenario-tests en business-continuity-oefeningen vraagt je klant op.
Wanneer ons inschakelen
Word je aangemerkt als "kritieke ICT-derde-partij" door ESA, dan val je rechtstreeks onder toezicht. Dat is een ander spel; trek juridische en compliance-specialisten aan.
Zie ook
- Valt mijn bedrijf onder NIS2 of niet?Twee vragen bepalen het: zit je in een aangewezen sector, en haal je de drempel uit Aanbeveling 2003/361/EG (meer dan 50 fte en meer dan 10M omzet of balans). Daaronder val je alleen indirect, via je klanten. De drempel maakt je belangrijke of essentiele entiteit afhankelijk van sector.
- Wat verandert er met de Cyberbeveiligingswet?De Cyberbeveiligingswet is de NL-implementatie van NIS2 en treedt gefaseerd in werking. Controleer NCSC voor de actuele inwerkingtredingsdatum en lagere regelgeving.
- Ben ik als directeur persoonlijk aansprakelijk onder NIS2?Ja, het bestuur is verantwoordelijk voor goedkeuring en toezicht op de cybermaatregelen. Bij ernstige nalatigheid kan dat persoonlijk worden.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.