ISMS Copilot
DORA met AI

Hoe u DORA ICT-risico's van derden beheert met behulp van AI

Overzicht

U leert hoe u de DORA-vereisten voor het beheer van ICT-risico's van derden onder de artikelen 28-30 implementeert met behulp van AI. Deze gids behandelt het opbouwen en onderhouden van het register van externe ICT-dienstverleners, het uitvoeren van pre-contractuele beoordelingen, het opnemen van verplichte contractclausules, het beoordelen van concentratierisico's, het ontwikkelen van exitstrategieën en het opzetten van voortdurende monitoring, met specifieke ISMS Copilot-prompts voor het genereren van elk onderdeel.

Voor wie dit is

Deze gids is voor:

  • Managers van risico's van derden en professionals op het gebied van leveranciersbeheer bij financiële entiteiten

  • Inkoop- en juridische teams die verantwoordelijk zijn voor contracten met ICT-dienstverleners

  • CISO's en CRO's die toezicht houden op de risico's in de ICT-toeleveringsketen

  • Compliance officers die ervoor zorgen dat afspraken met derden voldoen aan de DORA-vereisten

  • Consultants die financiële entiteiten adviseren over DORA-risicobeheer van derden

  • Externe ICT-dienstverleners die inzicht willen krijgen in de verplichtingen van hun cliënten

Voordat u begint

U heeft het volgende nodig:

  • Een ISMS Copilot-account (gratis proefperiode beschikbaar)

  • Uw ICT-activuminventaris uit Hoe u een DORA ICT-risicobeheerkader bouwt met behulp van AI (identificeert welke activa afhankelijk zijn van externe aanbieders)

  • Een lijst van uw huidige externe ICT-dienstverleners en de diensten die zij leveren

  • Toegang tot bestaande ICT-dienstverleningscontracten voor beoordeling

  • Inzicht in welke ICT-diensten uw kritieke of belangrijke functies ondersteunen

  • Toegang tot uw juridische, inkoop- en vendor management teams

Tijdlijn voor contractheronderhandeling: DORA vereist specifieke verplichte clausules in alle ICT-dienstverleningscontracten. Het heronderhandelen van bestaande contracten met grote leveranciers is vaak het meest tijdrovende aspect van de DORA-implementatie. Begin vroegtijdig. Sommige organisaties melden dat contractaanpassingen met grote cloudproviders en leveranciers van kernsystemen 6 tot 12 maanden in beslag kunnen nemen om uit te onderhandelen en af te ronden.

Inzicht in de DORA-vereisten voor ICT-risico's van derden

Artikelsgewijze uitsplitsing

DORA Hoofdstuk V, Afdeling I (Artikelen 28-30) stelt het meest uitgebreide regime voor het beheer van ICT-risico's van derden in de financiële regelgeving van de EU vast:

Artikel

Titel

Belangrijkste vereisten

Belangrijkste deliverables

Art 28

Algemene beginselen

Beleid inzake ICT-risico's van derden, register van alle aanbieders, pre-contractuele beoordeling, voortdurende monitoring, verantwoordelijkheid van het leidinggevend orgaan

Beleid inzake ICT-risico's van derden, register van aanbieders, beoordelingsprocedures

Art 29

Voorafgaande beoordeling van het ICT-concentratierisico

Beoordeel het concentratierisico alvorens nieuwe regelingen aan te gaan, overweeg substitueerbaarheid, datalocatie, operationele risico's van concentratie

Beoordeling van het concentratierisico, afhankelijkheidsanalyse

Art 30

Belangrijkste contractuele bepalingen

Verplichte contractclausules: SLA's, auditrechten, datalocatie, incidentondersteuning, exitbepalingen, controles op uitbesteding

Bibliotheek met contractclausules, checklist voor contractbeoordeling, sjablonen voor amendementen

De reikwijdte van ICT-risico's van derden onder DORA

DORA hanteert een brede visie op ICT-risico's van derden. De vereisten zijn van toepassing op alle ICT-diensten die van derden worden afgenomen, niet alleen op outsourcingovereenkomsten. Dit omvat:

  • Clouddiensten: IaaS-, PaaS-, SaaS-aanbieders (AWS, Azure, Google Cloud, Salesforce, enz.)

  • Leveranciers van kernsystemen: Kernbankieren, betalingsverwerking, handelsplatformen

  • Managed services: Managed security (SOC), beheerde IT-activiteiten, beheerde netwerkdiensten

  • Datadiensten: Data-analyse, aanbieders van marktgegevens, kredietbeoordelingsdiensten

  • Communicatiediensten: SWIFT, betalingsnetwerken, berichtenplatformen

  • Softwareleveranciers: Bedrijfsapplicaties, beveiligingstools, regelgevingstechnologie (RegTech)

  • Infrastructuuraanbieders: Datacentercocatie, netwerkconnectiviteit, CDN-diensten

De derde-partijbepalingen van DORA zijn van toepassing op alle ICT-diensten, inclusief diensten die traditioneel niet als outsourcing worden geclassificeerd. Beoordeel uw gehele ICT-toeleveringsketen, niet alleen formeel uitbestede diensten. Zelfs SaaS-abonnementen en datafeeds vereisen beoordeling en conforme contractvoorwaarden.

Stap 1: Bouw uw register van externe ICT-dienstverleners (Artikel 28)

Het register aanmaken

Artikel 28(3) vereist dat financiële entiteiten een informatieregister bijhouden en bijwerken met betrekking tot alle contractuele regelingen voor ICT-diensten. Dit register moet op verzoek ter beschikking worden gesteld van de bevoegde autoriteit en jaarlijks worden gerapporteerd via gestandaardiseerde sjablonen.

  1. Open uw DORA-werkruimte in ISMS Copilot

  2. Genereer het registersjabloon:

    "Maak een sjabloon voor het register van externe ICT-dienstverleners dat voldoet aan DORA Artikel 28(3) en de bijbehorende technische reguleringsnormen (RTS). Neem velden op voor: identificatie van de aanbieder (statutaire naam, LEI, jurisdictie, moedermaatschappij), contractidentificatie (contractreferentie, startdatum, verlengingsdatum, opzegtermijn), dienstbeschrijving (geleverde ICT-diensten, categorie dienst, leveringsmodel), ondersteunde functie (kritieke of belangrijke functie: ja/nee, naam bedrijfsfunctie), dataclassificatie (verwerkte datatypen, datalocatie inclusief land en regio, mechanismen voor gegevensoverdracht), uitbesteding (gebruikte onderaannemers, locatie onderaannemer, details over uitbestede diensten), samenvatting risicobeoordeling (risicoclassificatie, datum laatste beoordeling, belangrijkste bevindingen), nalevingsstatus contract (DORA verplichte clausules aanwezig: ja/gedeeltelijk/nee), status exitstrategie (exitplan ontwikkeld: ja/nee, datum laatste test), en datum laatste beoordeling. Voeg toelichtingen toe voor elk veld en geef voorbeeldinvoeren voor veelvoorkomende typen aanbieders (cloud, kernbankieren, managed security)."

  3. Vul het register systematisch in:

    "Help ons bij het identificeren en categoriseren van alle externe ICT-dienstverleners voor ons register. Wij zijn een [type entiteit] en maken gebruik van de volgende ICT-diensten: [lijst met bekende diensten en aanbieders]. Help ons voor elke aanbieder te classificeren: of zij kritieke of belangrijke functies ondersteunen, de gegevens die zij verwerken en de locatie daarvan, uitbestedingsregelingen die we moeten onderzoeken, risicoclassificatie op basis van de kritiekheid van de dienst en afhankelijkheid van de aanbieder, en prioriteit voor contractbeoordeling. Identificeer ook categorieën aanbieders die we mogelijk over het hoofd hebben gezien: DNS-aanbieders, certificeringsinstanties, betalingsverwerkers, marktdatafeeds, tools voor rapportage aan toezichthouders, back-up- en DR-aanbieders, identiteitsaanbieders en telecommunicatieaanbieders."

Pro tip: Kruisverwijs uw ICT-activuminventaris (uit het ICT-risicobeheerkader) met uw inkoopadministratie en IT-uitgaven om er zeker van te zijn dat er geen aanbieder wordt gemist. Shadow IT en SaaS-abonnementen op afdelingsniveau worden vaak over het hoofd gezien. Neem een proces op voor IT, inkoop en business units om nieuwe relaties met ICT-aanbieders te melden aan de eigenaar van het register.

Onderhoud en rapportage van het register

Het register is geen eenmalige exercitie. Stel procedures op voor doorlopend onderhoud:

"Maak een procedure voor het bijhouden en bijwerken van het register van externe ICT-dienstverleners onder DORA. Inclusief: triggers voor registerupdates (nieuwe contracten, contractwijzigingen, wijzigingen van aanbieders, wijzigingen in onderaanneming, risicoherbeoordeling), verantwoordelijkheden voor updates en workflow, kwaliteitscontroles, jaarlijks uitgebreid beoordelingsproces, rapportageverplichtingen aan de bevoegde autoriteit (jaarlijkse indiening volgens RTS-formaat), rapportage aan het leidinggevend orgaan (samenvatting van registerstatus, risicoconcentraties, nalevingslacunes) en integratie met inkoopprocessen (registerupdate als verplichte stap bij nieuwe ICT-inkoop). Verstrek een checklist voor de jaarlijkse registerbeoordeling."

Stap 2: Voer pre-contractuele beoordelingen uit (Artikel 28)

Due diligence-kader

Voordat een regeling voor ICT-diensten wordt aangegaan of vernieuwd, vereist DORA een grondige beoordeling van de aanbieder en de regeling. De diepgang van de beoordeling moet evenredig zijn aan de kritiekheid van de functie die wordt ondersteund.

  1. Genereer het beoordelingskader:

    "Maak een kader voor de pre-contractuele beoordeling van externe ICT-dienstverleners voor DORA Artikel 28. Neem beoordelingsgebieden op: financiële stabiliteit en levensvatbaarheid van de aanbieder, ICT-beveiligingscapaciteiten en certificeringen (ISO 27001, SOC 2, CSA STAR), capaciteiten voor incidentbeheer en -melding, capaciteiten voor bedrijfscontinuïteit en noodherstel, naleving van gegevensbescherming en privacy (AVG-afstemming), praktijken en transparantie op het gebied van onderaanneming, staat van dienst op het gebied van naleving van regelgeving, geografische risicobeoordeling (datalocatie, jurisdictie, politieke stabiliteit), capaciteiten voor exit- en overgangsondersteuning, en reputatie en marktpositie van de aanbieder. Geef voor elk gebied: beoordelingsvragen, op te vragen bewijsmateriaal, scorecriteria (voldoende, behoeft verbetering, onvoldoende) en rode vlaggen. Maak twee niveaus van beoordelingsdiepte: standaardbeoordeling (voor niet-kritieke diensten) en uitgebreide beoordeling (voor diensten die kritieke of belangrijke functies ondersteunen). Verstrek een sjabloon voor het beoordelingsrapport."

  2. Maak een beveiligingsvragenlijst voor aanbieders:

    "Maak een gedetailleerde vragenlijst voor de ICT-beveiligingsbeoordeling voor het evalueren van externe ICT-aanbieders onder DORA. Behandel: governance en organisatie (security management, beleid, certificeringen), toegangsbeheer (authenticatie, autorisatie, bevoorrechte toegang), gegevensbescherming (versleuteling in rust en tijdens transport, sleutelbeheer, dataclassificatie), netwerkbeveiliging (segmentatie, monitoring, inbraakdetectie), incidentoverleg (detectiecapaciteiten, responsprocedures, meldingstermijnen), bedrijfscontinuïteit (BCP/DRP, RTO/RPO-capaciteiten, testfrequentie), kwetsbaarheidsbeheer (scannen, patches, hersteltermijnen), wijzigingsbeheer (testen, goedkeuring, rollback), personeelsbeveiliging (antecedentenonderzoek, training, bewustwording), fysieke beveiliging (datacenterbeveiliging, omgevingscontroles) en risico's bij onderaanneming en vierde partijen. Neem zowel ja/nee-vragen als open vragen op. Geef scoringsinstructies."

Kritieke of belangrijke functies: DORA stelt strengere eisen wanneer ICT-diensten kritieke of belangrijke functies ondersteunen. De pre-contractuele beoordeling moet grondiger zijn, contractclausules uitgebreider, de voortdurende monitoring intensiever en de exitstrategieën gedetailleerder. Uw ICT-activuminventaris moet identificeren welke functies kritiek of belangrijk zijn, en deze classificatie bepaalt de diepgang van het risicobeheer van derden voor elke aanbieder.

Aanbiedersrisico's beoordelen vóór de samenwerking

Gebruik ISMS Copilot om specifieke aanbieders of typen aanbieders te evalueren:

"We overwegen [naam/type aanbieder] voor [dienstbeschrijving] ter ondersteuning van [kritieke/belangrijke/standaard functie]. Voer een DORA-conforme pre-contractuele risicobeoordeling uit. Overweeg: het vermogen van de aanbieder om te voldoen aan de eisen voor DORA-contractclausules (Artikel 30), implicaties voor datalocatie en -overdracht, transparantie over onderaanneming, afstemming van de incidentmeldingscapaciteit met onze DORA-rapportagedeadline van 4 uur, controleerbaarheid (recht op audit, toegang tot rapporten), haalbaarheid van exit (dataportabiliteit, overgangsondersteuning, lock-in risico's), implicaties voor concentratierisico (zijn we al afhankelijk van deze aanbieder of diens moedermaatschappij voor andere kritieke diensten?) en overwegingen van toezichthouders voor onze bevoegde autoriteit. Verstrek een risico-beoordeling met een aanbeveling over het al dan niet doorgaan."

Stap 3: Implementeer verplichte contractclausules (Artikel 30)

Inzicht in de vereisten van Artikel 30

Artikel 30 specificeert verplichte elementen die moeten worden opgenomen in contracten voor ICT-diensten. De vereisten zijn nog gedetailleerder voor diensten die kritieke of belangrijke functies ondersteunen. Dit is vaak het meest arbeidsintensieve aspect van het DORA-risicobeheer van derden.

  1. Genereer de bibliotheek met contractclausules:

    "Maak een uitgebreide DORA Artikel 30-bibliotheek met contractclausules voor ICT-dienstverleningsovereenkomsten. Geef voor elke verplichte vereiste: de referentie naar het DORA-artikel, een modelcontractclausule (klaar voor juridische beoordeling), toelichtingen en onderhandelingsinstructies. Behandel alle vereisten van Artikel 30: duidelijke dienstbeschrijving met kwantitatieve en kwalitatieve prestatiedoelstellingen, locaties voor gegevensverwerking (inclusief opslag-, verwerkings- en back-uplocaties) met voorafgaande kennisgeving van wijzigingen, verplichtingen inzake gegevensbescherming en vertrouwelijkheid, garanties voor beschikbaarheid, authenticiteit, integriteit en toegankelijkheid van gegevens, Service Level Agreements (SLA's) met meetbare statistieken, incidentmeldingsverplichtingen (afgestemd op DORA-rapportagetermijnen, met vereiste melding door aanbieder binnen tijdsbestekken die onze deadline van 4 uur ondersteunen), medewerking van de aanbieder met bevoegde autoriteiten, auditrechten (recht om audits en inspecties uit te voeren, inclusief ter plaatse, of vertrouwen op certificeringen van derden), opzeggingsbepalingen en adequate overgangsperioden, deelname aan trainingen over ICT-beveiligingsbewustzijn. Voeg voor diensten die kritieke of belangrijke functies ondersteunen extra clausules toe voor: volledige dienstbeschrijving met duidelijke functies en subfuncties, prestatiedoelstellingen met bijbehorende boetes, verplichtingen en testen op het gebied van bedrijfscontinuïteit en noodherstel, rapportageverplichtingen (regelmatige rapportage over dienstprestaties, beveiliging en materiële wijzigingen), verplichtingen voor exithulp (teruggave van gegevens, overgangsondersteuning, migratiebijstand), vereisten voor onderaanneming (voorafgaande goedkeuring, het doorleggen van DORA-clausules, recht op bezwaar) en onbeperkt recht van de financiële entiteit om op doorlopende basis te monitoren."

  2. Maak een checklist voor contractbeoordeling:

    "Maak een checklist voor de naleving van DORA Artikel 30 voor bestaande ICT-dienstverleningsovereenkomsten. Geef voor elke vereiste uit Artikel 30: de beschrijving van de vereiste, beoordeling (conform/gedeeltelijk conform/niet-conform), specifieke clausulereferentie in het bestaande contract (indien aanwezig), beschrijving van de lacune (indien gedeeltelijk of niet-conform), aanbevolen tekst voor amendement en prioriteit (kritiek voor diensten die kritieke/belangrijke functies ondersteunen, standaard voor overige). De checklist moet bruikbaar zijn voor juridische en inkoopteams die bestaande contracten systematisch beoordelen. Voeg een samenvattend scoremechanisme toe om te identificeren welke contracten onmiddellijke heronderhandeling vereisen."

Pro tip: Begin contractbeoordelingen bij uw meest kritieke ICT-aanbieders, degenen die kritieke of belangrijke functies ondersteunen. Houd bij grote aanbieders (grote cloudplatforms, leveranciers van kernbankensystemen) rekening met lange onderhandelingstermijnen. Overweeg deze aanbieders te benaderen via brancheorganisaties of bankverenigingen, aangezien veel grote aanbieders standaard DORA-conforme contractaddenda ontwikkelen voor hun klanten in de financiële dienstverlening.

Onderhandelingsstrategieën

Gebruik ISMS Copilot om contractonderhandelingen voor te bereiden:

"Maak een DORA-contractonderhandelingsstrategie voor besprekingen met onze [type aanbieder, bijv. grote cloudprovider / kernbankleverancier / managed security provider]. Behandel veelvoorkomende bezwaren van aanbieders: 'We kunnen niet aan elke klant individuele auditrechten verlenen' (bespreek het vertrouwen op SOC 2/ISO 27001 rapporten, gezamenlijke audits en certificering door derden conform Artikel 30(3)), 'We kunnen geen specifieke datalocaties garanderen' (DORA-vereisten, verwachtingen van toezichthouders, alternatieve benaderingen), 'Onze standaard SLA's zijn niet onderhandelbaar' (minimale DORA-vereisten, escalatiebenaderingen), 'We accepteren geen onbeperkte aansprakelijkheid' (evenredige benaderingen, onderhandelingen over limieten), 'Onze meldingstermijnen zijn 24-48 uur' (noodzaak om de 4-uurs DORA-deadline te ondersteunen, gelaagde meldingsaanpak). Geef voor elk bezwaar: de wettelijke DORA-vereiste, alternatieve benaderingen die aan de regelgeving voldoen, compromisposities en escalatiestrategieën."

Stap 4: Beoordeel en beheer concentratierisico (Artikel 29)

Inzicht in ICT-concentratierisico

Artikel 29 vereist dat financiële entiteiten het ICT-concentratierisico beoordelen voordat zij ICT-dienstverleningsovereenkomsten aangaan en op doorlopende basis. Concentratierisico ontstaat wanneer een te grote afhankelijkheid van een enkele aanbieder (of een kleine groep aanbieders) een systemische kwetsbaarheid creëert.

  1. Genereer het kader voor beoordeling van concentratierisico:

    "Maak een kader voor de beoordeling van ICT-concentratierisico voor DORA Artikel 29. Inclusief: definitie en reikwijdte van ICT-concentratierisico, beoordelingsmethodologie die het volgende omvat: afhankelijkheid van een enkele aanbieder (hoeveel kritieke functies zijn afhankelijk van één aanbieder), afhankelijkheid van een aanbiedersgroep (analyse van moedermaatschappij, dochteronderneming en gelieerde aanbieders), afhankelijkheid van de technologiestack (afhankelijkheid van een enkel technologieplatform), geografische concentratie (alle kritieke diensten in één regio of datacenter), beoordeling van substitueerbaarheid (gemak van vervanging van elke kritieke aanbieder), concentratie in de toeleveringsketen (meerdere aanbieders die afhankelijk zijn van dezelfde vierde partij), marktconcentratie (beperkte alternatieve aanbieders in een bepaalde categorie). Geef voor elke dimensie: beoordelingscriteria, meetstaven, drempels voor risicoclassificatie (laag, gemiddeld, hoog, kritiek) en mitigatiestrategieën. Maak een sjabloon voor een dashboard voor concentratierisico's voor rapportage aan het leidinggevend orgaan."

  2. Voer een concentratierisico-analyse uit:

    "Voer op basis van ons register van externe ICT-dienstverleners een concentratierisico-analyse uit. Onze aanbieders omvatten: [lijst met belangrijkste aanbieders en diensten]. Analyseer: welke aanbieders meerdere kritieke functies ondersteunen (concentratie op één aanbieder), of aanbieders moedermaatschappijen of infrastructuur delen (groepsconcentratie), geografische concentratie van onze kritieke ICT-diensten, marktbeschikbaarheid van alternatieve aanbieders voor elke kritieke dienst, mogelijk systemisch risico als onze meest kritieke aanbieder een grote storing zou ervaren, en afhankelijkheden van vierde partijen (bijv. meerdere aanbieders die hetzelfde cloudplatform gebruiken). Ken een risicoscore toe aan elk geïdentificeerd concentratierisico en beveel mitigerende maatregelen aan."

Systemisch concentratierisico: DORA erkent dat concentratierisico niet alleen een zorg is van individuele entiteiten, maar een systemisch probleem voor de financiële stabiliteit. Als meerdere financiële entiteiten afhankelijk zijn van dezelfde kritieke ICT-aanbieder, kan het falen van een aanbieder de financiële sector op grote schaal verstoren. Europese toezichthoudende autoriteiten wijzen kritieke externe ICT-dienstverleners aan (Artikelen 31-44) en leggen direct toezicht op hen op. Uw beoordeling van het concentratierisico moet rekening houden met zowel afhankelijkheden op entiteitsniveau als op sectorniveau.

Mitigatie van concentratierisico

Wanneer concentratierisico's worden geïdentificeerd, moeten mitigatiestrategieën worden ontwikkeld:

"Ontwikkel mitigatiestrategieën voor elk hoog of kritiek concentratierisico dat in onze beoordeling is geïdentificeerd. Overweeg: 'multi-provider'-strategieën (het verdelen van kritieke diensten over meerdere aanbieders), 'multi-cloud' of hybride benaderingen, het behouden van interne capaciteiten als fallback, contractuele beschermingen (verbeterde SLA's, verplichtingen tot bedrijfscontinuïteit, escrow-regelingen), maatregelen voor technologie-portabiliteit (vermijden van bedrijfseigen lock-in, gebruik van draagbare formaten en standaarden), geografische diversificatie van kritieke diensten, risicobeheer van vierde partijen (ervoor zorgen dat aanbieders hun eigen mitigatie van concentratierisico hebben) en stapsgewijze diversificatieplannen waar onmiddellijke verandering niet haalbaar is. Geef voor elke mitigatiestrategie: implementatiestappen, tijdschatting, kostenoverwegingen, restrisico na mitigatie en beslispunten voor het leidinggevend orgaan."

Stap 5: Ontwikkel exitstrategieën (Artikel 28)

Vereisten voor exitstrategie

DORA vereist dat financiële entiteiten exitstrategieën hebben voor ICT-diensten die kritieke of belangrijke functies ondersteunen. Exitstrategieën moeten ervoor zorgen dat het beëindigen van of overstappen bij een aanbieder de diensten niet verstoort, gegevens niet in gevaar brengt of de naleving van de regelgeving niet vermindert.

  1. Genereer sjablonen voor exitstrategie:

    "Maak sjablonen voor exitstrategieën voor naleving van DORA Artikel 28, voor ICT-diensten die kritieke of belangrijke functies ondersteunen. Voor elke kritieke aanbieder/dienst moet de exitstrategie het volgende omvatten: trigger-events voor exit (falen van de aanbieder, contractbreuk, concentratierisico, strategische wijziging, wettelijke vereiste), overgangsplanning (doelstatusopties: alternatieve aanbieder, in-house, hybride), overgangstijdlijn en mijlpalen (realistisch voor de complexiteit van de dienst), datamigratieplan (data-extractie, formaatconversie, validatie, verwijdering bij aanbieder), vereisten voor kennisoverdracht (documentatie, training, operationele overdracht), periode van parallel draaien (minimale duur, acceptatiecriteria voor overgang), benodigde middelen (intern team, externe ondersteuning, budget), communicatieplan (cliënten, toezichthouders, andere belanghebbenden), testen en valideren van alternatieve regelingen vóór volledige overgang, contractuele bepalingen ter ondersteuning van exit (overgangsperiode, verplichtingen tot datateruggave) en risicobeoordeling van het exitproces zelf (overgangsrisico's, mitigerende maatregelen). Maak sjablonen voor veelvoorkomende scenario's: exit van cloudprovider, vervanging van kernsysteem en overgang van managed service."

  2. Stel testen van de exitstrategie vast:

    "Maak procedures voor het testen van exitstrategieën voor kritieke externe ICT-dienstverleners. Inclusief: testfrequentie (ten minste jaarlijkse beoordeling, testen van belangrijke onderdelen), testtypes (tabletop-beoordeling van het exitplan, gedeeltelijke data-extractietest, proof of concept bij alternatieve aanbieder, volledige overgangssimulatie), testscenario's (geplande exit met medewerking, noodexit met beperkte medewerking van aanbieder, scenario van insolventie van aanbieder), succescriteria voor elk testtype, documentatie en rapportage van testresultaten, rapportage aan het leidinggevend orgaan over de gereedheid van de exitstrategie, en herstel van geïdentificeerde lacunes. Verstrek een testschema dat is afgestemd op ons algehele DORA-weerbaarheidstestprogramma."

Het testen van de exitstrategie moet worden gecoördineerd met uw algehele weerbaarheidstestprogramma onder de artikelen 24-27. Zie Hoe u DORA-weerbaarheidstesten plant met behulp van AI voor instructies over het integreren van exit-testen van derden in uw bredere testkalender.

Stap 6: Stel voortdurende monitoring vast (Artikel 28)

Continue monitoring van aanbieders

DORA vereist doorlopende monitoring van externe ICT-dienstverleners, niet slechts incidentele beoordelingen. De intensiteit van de monitoring moet in verhouding staan tot de kritiekheid van de dienst:

  1. Genereer het monitoringkader:

    "Maak een kader voor de voortdurende monitoring van externe ICT-dienstverleners voor DORA Artikel 28. Neem monitoringactiviteiten op: SLA-prestaties bijhouden (beschikbaarheid, responstijden, oplossing van incidenten, afgezet tegen contractuele doelen), monitoring van beveiligingsstatus (behoud van certificeringen, bekendmakingen van kwetsbaarheden, openbare meldingen van inbreuken), monitoring van financiële stabiliteit (kredietratings, financiële rapporten, marktnieuws, overnameactiviteit), incidentmeldingen van aanbieders (tijdigheid, volledigheid, afstemming op DORA-vereisten), wijzigingen in onderaanneming (nieuwe onderaannemers, wijzigingen in locatie van onderaannemer), ontwikkelingen in de regelgeving die de aanbieder beïnvloeden (handhavingsacties, licentiewijzigingen, aanwijzing als kritieke aanbieder) en materiële wijzigingen in de dienstverlening (technologische wijzigingen, migraties van datacenters, personeelswijzigingen). Specificeer voor elke monitoringactiviteit: frequentie (continu, maandelijks, driemaandelijks, jaarlijks), gegevensbronnen, verantwoordelijke rol, escalatiecriteria (wanneer bevindingen uit monitoring leiden tot herbeoordeling of contractbeoordeling) en documentatievereisten. Maak een sjabloon voor een monitoringdashboard."

  2. Definieer procedures voor de beoordeling van de prestaties van aanbieders:

    "Maak een beoordelingsprocedure voor de prestaties van externe ICT-dienstverleners voor DORA-naleving. Inclusief: beoordelingsfrequentie (driemaandelijks voor kritieke aanbieders, halfjaarlijks voor belangrijke, jaarlijks voor standaard), sjabloon voor de agenda van de beoordeling (SLA-prestaties, beveiligingsstatus, incidenten en meldingen, onderaanneming, materiële wijzigingen, nalevingsstatus), deelnemers (provider relationship manager, security, compliance), escalatieprocedures voor ondermaatse prestaties (verzoeken tot herstel, versterkte monitoring, melding aan het leidinggevend orgaan, triggers voor contractbeëindiging), documentatievereisten (notulen van de beoordeling, actiepunten, toezeggingen van de aanbieder) en jaarlijkse samenvattende rapportage voor het leidinggevend orgaan en de bevoegde autoriteit. Verstrek een sjabloon voor een prestatiebeoordelingsrapport van de aanbieder."

Pro tip: Overweeg voor kritieke ICT-aanbieders het implementeren van geautomatiseerde monitoringtools die de status van de aanbieder, beveiligingscertificeringen en openbare incidentrapporten volgen. Dit vermindert de handmatige last en zorgt ervoor dat u materiële wijzigingen snel opmerkt. Diensten die SOC 2-rapporten van aanbieders, security ratings en nieuwsfeeds monitoren, kunnen uw handmatige beoordelingsprocessen aanvullen.

Toezicht op onderaanneming

DORA vereist toezicht op de ketens van onderaanneming. Uw monitoring moet zich verder uitstrekken dan uw directe aanbieders:

"Maak een procedure voor toezicht op onderaanneming voor DORA-naleving. Inclusief: contractuele vereisten voor transparantie in de keten (voorafgaande kennisgeving of goedkeuring, recht op bezwaar), verplichtingen van de aanbieder om onderaannemers en hun rollen bekend te maken, beoordelingscriteria voor materiële onderaannemers (dezelfde criteria als voor de primaire aanbieder), monitoring van wijzigingen in de onderaannemingsketen, procedures wanneer aanbieders nieuwe onderaannemers toevoegen (beoordeling, risicoanalyse, goedkeuring of bezwaar), risicobeoordeling van vierde partijen (onderaannemers van onderaannemers), het doorleggen van DORA-relevante contracteisen naar onderaannemers en escalatieprocedures wanneer onderaannemingsregelingen het concentratierisico verhogen. Verstrek een sjabloon voor een register van onderaannemers en een workflow voor beoordeling."

Stap 7: Governance en rapportage aan het leidinggevend orgaan

Beleid inzake ICT-risico's van derden

Artikel 28(2) vereist een beleid inzake het gebruik van ICT-diensten die kritieke of belangrijke functies ondersteunen. Dit beleid moet door het leidinggevend orgaan worden goedgekeurd:

"Maak een beleid voor het beheer van ICT-risico's van derden voor DORA Artikel 28(2). Inclusief: doel, reikwijdte en toepasbaarheid van het beleid, verantwoordelijkheden van het leidinggevend orgaan voor toezicht op ICT-risico's van derden, risicobereidheid voor ICT-diensten van derden (aanvaardbare concentratieniveaus, geografische beperkingen, standaarden voor aanbieders), vereisten voor pre-contractuele beoordeling (criteria voor activering, diepgang van beoordeling op basis van kritiekheid), contractuele standaarden en verplichte clausules, verplichtingen voor voortdurende monitoring en beoordeling, vereisten voor exitstrategie en bedrijfscontinuïteit, rollen en verantwoordelijkheden (manager ICT-risico's van derden, CISO, juridisch, inkoop, proceseigenaren), escalatie- en uitzonderingsprocedures, frequentie van beleidsevaluatie en -bijwerking (ten minste jaarlijks) en integratie met het algehele ICT-risicobeheerkader. Maak het geschikt voor goedkeuring door het leidinggevend orgaan."

Rapportage aan het leidinggevend orgaan

Houd het leidinggevend orgaan op de hoogte van ICT-risico's van derden via gestructureerde rapportage:

"Maak een rapportagepakket voor het leidinggevend orgaan over ICT-risico's van derden onder DORA. Inclusief: samenvatting van het register van aanbieders (totaal aantal aanbieders, aanbieders die kritieke functies ondersteunen, nieuwe/beëindigde regelingen), dashboard voor concentratierisico (belangrijkste afhankelijkheidsstatistieken, wijzigingen ten opzichte van de vorige periode), status van contractnaleving (percentage contracten dat volledig voldoet aan DORA Artikel 30, voortgang van herstel), samenvatting van prestaties van aanbieders (behaalde SLA's, materiële incidenten bij aanbieders, wijzigingen in de beveiligingsstatus), gereedheidsbeoordeling van exitstrategieën, belangrijkste risico's en opkomende kwesties (financiële instabiliteit van de aanbieder, acties van toezichthouders, technologische wijzigingen) en aanbevolen besluiten voor het leidinggevend orgaan. Verstrek een sjabloon voor driemaandelijkse rapportage en een sjabloon voor een jaarlijkse uitgebreide beoordeling."

Focus van het toezichtsonderzoek: Het ICT-risico van derden is een belangrijk aandachtspunt voor bevoegde autoriteiten die de naleving van DORA onderzoeken. Wees bereid om het volgende aan te tonen: een volledig en actueel register van aanbieders, bewijs van pre-contractuele beoordelingen voor alle kritieke dienstverleners, contracten met DORA-conforme clausules (of gedocumenteerde herstelplannen), beoordelingen van concentratierisico's en mitigatie-acties, geteste exitstrategieën voor kritieke aanbieders en bewijs van voortdurende monitoring. Onvolledige registers en niet-conforme contracten behoren tot de meest voorkomende bevindingen.

Stap 8: Behandel grensoverschrijdende en groepsaspecten

Beheer van ICT-risico's van derden op groepsniveau

Als uw entiteit deel uitmaakt van een groep voor financiële dienstverlening, moet het DORA-risicobeheer van derden op groepsniveau worden gecoördineerd:

"Behandel de overwegingen op groepsniveau voor het beheer van DORA ICT-risico's van derden. Onze entiteit maakt deel uit van [groepsstructuur]. Help ons bij: het consolideren van het register van aanbieders over groepsentiteiten heen (identificeren van gedeelde aanbieders, concentratierisico's op groepsniveau), het coördineren van contractonderhandelingen voor aanbieders die door meerdere groepsentiteiten worden gebruikt, het afstemmen van standaarden voor pre-contractuele beoordeling binnen de groep, het delen van monitoringactiviteiten en -bevindingen, het coördineren van exitstrategieën waar meerdere entiteiten afhankelijk zijn van dezelfde aanbieder, en het rapporteren van het ICT-risico van derden op groepsniveau aan het leidinggevende orgaan van de moederentiteit. Verstrek een coördinatiekader voor de groep."

Vereisten voor grensoverschrijdende datalocatie

DORA Artikel 30 vereist dat contracten de locaties voor gegevensverwerking specificeren. Behandel voor grensoverschrijdende regelingen de implicaties voor de regelgeving:

"Analyseer datalocatie en grensoverschrijdende overwegingen voor onze ICT-regelingen met derden onder DORA Artikel 30. Onze aanbieders verwerken gegevens in [lijst met landen/regio's]. Beoordeel: naleving van de vereisten voor openbaarmaking van datalocaties, AVG-adequaatheidsbesluiten en overdrachtsmechanismen voor gegevensverwerking buiten de EU, beperkingen van toezichthouders op locaties voor gegevensverwerking voor financiële gegevens in onze jurisdictie, risico's van gegevensverwerking in jurisdicties met zwakkere wettelijke bescherming, verplichtingen van de aanbieder om wijzigingen in datalocatie te melden en contractuele controles om naleving van datalocatie te handhaven. Geef aanbevelingen voor elke aanbieder/dienst waar de datalocatie een risico vormt."

Volgende stappen

U beschikt nu over een uitgebreide capaciteit voor het beheer van DORA ICT-risico's van derden:

  • Volledig register van externe ICT-dienstverleners met gestandaardiseerde gegevens

  • Kader voor pre-contractuele beoordeling met beveiligingsvragenlijst voor aanbieders

  • Uitgebreide bibliotheek met contractclausules met checklist voor naleving van Artikel 30

  • Kader voor beoordeling van concentratierisico en mitigatiestrategieën

  • Sjablonen voor exitstrategieën en testprocedures

  • Kader voor voortdurende monitoring met procedures voor prestatiebeoordeling

  • Beleid inzake ICT-risico's van derden en rapportage aan het leidinggevend orgaan

Hiermee is de vijfdelige gidsenserie voor DORA-implementatie voltooid. Bekijk de volledige serie:

  • Aan de slag met DORA-implementatie met behulp van AI -- Basis: reikwijdte, governance, kloofanalyse, roadmap

  • Bouwen aan een DORA ICT-risicobeheerkader met behulp van AI -- Pijler 1: Artikel 6-16 kader, beleid, controles

  • DORA-incidentrapportage implementeren met behulp van AI -- Pijler 2: Artikel 17-23 classificatie, rapportage, oorzaakanalyse

  • DORA-weerbaarheidstesten plannen met behulp van AI -- Pijler 3: Artikel 24-27 testprogramma, TLPT, herstel

  • DORA ICT-risico's van derden beheren met behulp van AI (deze gids) -- Pijler 4: Artikel 28-30 aanbieders, contracten, concentratierisico

Voor kant-en-klare prompts over elk DORA-artikel, zie de DORA Compliance Prompt Library. Raadpleeg voor het volledige wettelijke overzicht de DORA Compliance Guide for Financial Entities.

Hulp krijgen

Voor aanvullende ondersteuning bij het beheer van DORA ICT-risico's van derden:

  • Vraag het aan ISMS Copilot: Gebruik uw DORA-werkruimte om aanbiederspecifieke beoordelingen, analyse van contractclausules en rapporten over concentratierisico's te genereren

  • Upload contracten: Krijg gerichte analyses van de naleving van Artikel 30 door bestaande ICT-dienstverleningsovereenkomsten te uploaden voor een clausule-voor-clausule beoordeling

  • Voorbereiding van onderhandelingen: Gebruik ISMS Copilot om position papers en voorstellen voor alternatieve clausules op te stellen voorafgaand aan onderhandelingen met aanbieders

  • Valideer de resultaten: Beoordeel alle contractclausules met uw juridische team en verifieer de beoordelingscriteria aan de hand van DORA-artikelen 28-30 en de relevante technische reguleringsnormen

Begin vandaag nog met het beheren van uw ICT-risico's van derden. Open uw DORA-werkruimte op chat.ismscopilot.com en begin met uw register van aanbieders. Met de diepgaande kennis van ISMS Copilot over DORA-contractvereisten en praktijken voor risicobeoordeling door derden, kunt u systematisch elke regeling met ICT-aanbieders in overeenstemming brengen met de regels en een veerkrachtige, goed bestuurde ICT-toeleveringsketen opbouwen.

Was dit nuttig?