DORA voor MKB-leveranciers aan financiële instellingen
Vanaf januari 2025 verwacht elke bank, verzekeraar of beleggingsfonds DORA-compatibel te zijn. Ben je een MKB-leverancier? Dan krijg je het via hun contracten bij je.
DORA (Digital Operational Resilience Act) is een EU-verordening die banken, verzekeraars, beleggingsfondsen en betaaldienstverleners verplicht tot striktere IT-resilience. Als je als MKB-software-leverancier aan die sector levert, krijg je de eisen via contracten bij je.
Wat betekent het concreet voor leveranciers?
- Contractuele security-requirements worden strikter. Klanten in de sector zullen ISO 27001 of SOC 2 Type II vragen, plus aanvullende clausules.
- Incident-meldplicht: je moet zelf incidenten binnen vaste termijnen aan je financiële klanten melden.
- Risicomanagement richting third-party suppliers — inclusief jou als leverancier — moet expliciet.
- Testregime: je klanten kunnen verwachten dat ze je mogen pen-testen of resilience-testen uitvoeren.
Actie
- ISO 27001 als basis (pillar).
- Incident-meldprocedure die onderscheid maakt tussen algemene meldplicht en sector-specifieke DORA-meldplicht.
- Subcontractor-register — wie van jouw leveranciers raakt jouw financiële klanten indirect.
- Herziening contract-templates voor financiële klanten.
Raakvlak met ISO vs SOC 2 en verwerkersregister.
Volledige gids: ISO 27001 voor het MKB zonder €50k aan consultants
Dit artikel is onderdeel van onze uitgebreide Compliance-gids. Lees de pillar voor het complete plaatje.
Lees de pillar →