Vorige week 24 september 2025 schreef mijn collega dat het van belang is om goed op te letten bij (standaard) DORA-contracten. Door scherp te zijn op de verplichtingen die DORA werkelijk stelt, kunnen aanbieders van ICT-diensten vermijden dat ze te veel verplichtingen aangaan voor afnemers die zomaar roepen dat ‘het moet van DORA’. Dat is des te meer van belang als er onvoldoende vergoeding wordt gesteld tegenover de extra verplichtingen. Financiële instellingen daarentegen kunnen zodoende juist vermijden dat zij meer extra’s afnemen en betalen dan ze werkelijk nodig hebben om aan DORA te voldoen.
In deze editie van het blog-tweeluik over DORA bespreek ik waarom en hoe het implementeren van ISO 27001, de meest bekende en toonaangevende internationale standaard voor informatiebeveiliging, goede handvatten biedt voor zowel aanbieders als afnemers van ICT-diensten om op een beheerste, efficiënte en professionele manier aan hun wettelijke en contractuele verplichtingen te voldoen. Ook licht ik toe waarom dit niet alleen voor DORA geldt maar ook voor het aantoonbaar maken van compliance met de AVG en een breed scala aan andere verplichtingen in de ‘wervelstorm aan wetgeving’ die op organisaties afkomt in het kader van de Digital Decade.
Veel van de relatief nieuwe EU-regels die (grotendeels) betrekking hebben op informatiebeveiliging zoals DORA en NIS2, zijn geïnspireerd door ISO 27001. Van de ISO 27k familie van standaarden voor informatiebeveiliging is ISO 27001 de breedst toepasbare. Dergelijke informatiebeveiligingsstandaarden zijn op hun beurt vaak weer (deels) geïnspireerd door algemene standaarden voor kwaliteitsmanagement, zoals ISO 9001.
Hoofdstuk V van DORA gaat bijvoorbeeld over ‘degelijk beheer van het ICT-risico van derde aanbieders’. Mensen die ISO 27001 goed in hun (informatiebeveiligingsmanagement-)systeem hebben, zullen direct een verband kunnen leggen met bijvoorbeeld de beheersmaatregelen uit Annex A.5.19 tm 5.21 van ISO 27001, die gaan over leveranciersmanagement.
Het implementeren van een informatiebeveiligingsmanagementsysteem, of als dat te veel associaties met galgje oproept dan kan je het in goed Engels ook een information security management system of kortweg ISMS noemen, conform ISO 27001 helpt borgen dat inkoop- en uitbestedingsprocessen op een gestructureerde manier verlopen. Aan de hand van duidelijke beleidsstukken, processen en/of werkinstructies, waar het personeel goed voor is opgeleid en getraind om die uit te voeren, kunnen risico’s voor informatiebeveiliging worden geïdentificeerd en op een passende manier worden behandeld. Vaak zal een proces als dit resulteren in een combinatie van (a) minimaliseren, (b) overdragen aan verzekering en (c) accepteren van een restrisico. (Helemaal vermijden van het risico door de risicovolle activiteit helemaal niet meer uit te voeren kan soms ook de ‘risicobehandeling’ naar keuze zijn, maar in de praktijk is dat meestal natuurlijk niet wenselijk of zelfs niet mogelijk voor de organisatie.) De kunst daarbij is om (rest)risico’s zo klein mogelijk te maken, tegen zo min mogelijk kosten of andere nadelen. Maatregelen die veel risico (kans maal impact) wegnemen maar juist weinig tijd, geld en moeite kosten en zelf ook geen andere risico’s introduceren, verdienen prioriteit.
Zowel voor leveranciers als afnemers kunnen certificeringen als ISO 27001 veel voordelen opleveren door de noodzaak voor afnemers om zelf audits uit te (laten) voeren op leveranciers voor een groot deel weg te nemen. Ook kunnen dergelijke certificeringen helpen om minder uitgebreide en specifieke beveiligingsverplichtingen in (bijlagen van) contracten op te hoeven nemen. En dat kan weer helpen vermijden dat de inhoud van dergelijke contracten of bijlagen te snel veroudert.
In plaats van een uitgebreide beveiligingsbijlage met specifieke contractuele verplichtingen waar het gevaar van micromanagement op de loer ligt, kan de leverancier bijvoorbeeld een kopie verstrekken van het geldige ISO-certificaat en eventueel (een publieke versie van) de verklaring van toepasselijkheid (statement of applicability), waarin per beheersmaatregel in Annex A van ISO 27001 is aangegeven of de aanbieder deze heeft geïmplementeerd en hoe, inclusief onderbouwing (sinds de versie van 2022). Ook al kan het dan nog steeds wenselijk zijn om enkele concrete specifieke maatregelen als voorbeeld op te nemen in een contract of bijlage, zoals het toepassen van multifactor-authenticatie (MFA) en encryptie van gegevens die worden opgeslagen (‘at rest’) of doorgegeven (‘in transit’), dankzij het ISMS is de organisatie beter in staat om dergelijke maatregelen te implementeren en dit aan te tonen.
Voor financiële instellingen is aan te raden om vooral ICT-dienstverleners in te schakelen die (idealiter met een geldig certificaat) kunnen aantonen dat zij ISO 27001 compliant zijn. Daarmee bestaat een duidelijke indicatie dat compliance met DORA al grotendeels voorzien zal zijn en dat de specifieke zaken die DORA nog vereist, ook eenvoudig geïmplementeerd en aangetoond kunnen worden.
Wie al een zorgvuldig leveranciersmanagementproces onder ISO 27001 heeft geïmplementeerd, zal relatief eenvoudig in staat zijn om te voldoen aan contractuele verplichtingen die volgens artikel 30 van DORA moeten worden opgelegd aan aanbieders van ICT-diensten en aanbieders van ICT-diensten met een kritieke functie.
Veel onderwerpen die DORA verplicht stelt om contractueel te regelen worden in een goed proces voor leveranciersmanagement onder ISO 27001 ook meegenomen, waaronder bijvoorbeeld (maar zeker niet uitsluitend):
Voor ICT-dienstverleners kan DORA dus een goede (extra) reden bieden om ISO 27001 te implementeren. Voor een groot deel van de verplichtingen die onder DORA contractueel moeten worden opgelegd, kan compliance met een ISO 27001 certificaat al direct worden aangetoond. Zelfs voor specifieke DORA-verplichtingen die op zichzelf niet (met zoveel woorden) deel uitmaken van ISO 27001, zoals specifieke verplichtingen voor ‘threat-led penetration testing’, wordt het nakomen en aantonen gemakkelijker doordat algemene beleidsstructuren (governance) en operationele processen onder ISO 27001 al goed moeten zijn vormgegeven.
Bovendien helpt bijvoorbeeld het implementeren van beheersmaatregel A.5.31 van ISO 27001:2022 de organisatie in kaart brengen welke specifieke wettelijke en contractuele verplichtingen van toepassing zijn, waaronder mogelijk ook DORA.
Ook de inmiddels toch (hopelijk maar helaas nog altijd niet altijd) ‘oude vertrouwde’ AVG bevat natuurlijk verplichtingen voor partijen om diverse zaken contractueel met elkaar te regelen. Onder de AVG was en is het ook al noodzakelijk om voor leveranciers vast te stellen welke soorten (persoons)gegevens zij gaan verwerken, voor welke doeleinden, hoe risicovol dat is en om passende maatregelen te treffen om de risico’s te beperken tot een acceptabel minimum.
Voor veel organisaties kan het (verder) integreren van privacy en informatiebeveiliging bij processen voor leveranciersmanagement significante (tijds)winst en verbetering van kwaliteit opleveren. Privacy-professionals kunnen hun processen verder professionaliseren door structureel en planmatig volgens ISO 27001 te werken, terwijl security-professionals juist goed op de hoogte moeten zijn of worden gebracht van de wettelijke en contractuele eisen voor bescherming van persoonsgegevens.
DORA vereist dat financiële instellingen als onderdeel van hun leveranciersmanagement contractuele afspraken maken met leveranciers om een eventuele exit goed te laten verlopen.
Zoals voor veel wetgeving geldt die deel uitmaakt van de zogenaamde Digital Decade, bevatten andere wetten hier ook soortgelijke of aanverwante verplichtingen voor vanuit een andere invalshoek. Een voorbeeld hiervan is de recentelijk in werking getreden Data Act (of Dataverordening).
Gezien de brede scope en impact van de verplichtingen in bijvoorbeeld Hoofdstuk IV Data Act is aan te raden om ook de Data Act deel uit te laten maken van processen voor leveranciersmanagement. Niet in de laatste plaats omdat voor aanbieders van ‘dataverwerkingsdiensten’ (daar vallen alle vormen van clouddiensten onder, zoals IaaS, PaaS, SaaS) de verplichting geldt om een schriftelijke exit-regeling te treffen waarbij de aanbieder verplicht wordt om mee te werken als de klant wil overstappen naar een andere aanbieder.
Als je meer informatie of advies nodig hebt over hoe je met DORA, de Data Act of andere wetgeving van de Digital Decade om moet gaan en hoe het implementeren van ISO 27001 daarbij kan helpen, neem dan gerust contact met ons op.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.