In januari 2025 moet de financiële sector voldoen aan de DORA (Digital Operational Resilience Act) zo schreven we in deze blog over DORA en software escrow. Deze Europese verordening bevat meerdere verplichtingen voor financiële organisaties. Sommige verplichtingen zijn duidelijk opgeschreven, andere verplichtingen bieden juist ruimte voor eigen invulling. Daarbij schrijft DORA ook nog eens contractuele bepalingen voor die opgenomen moeten worden in de overeenkomst met de ICT-leverancier.
Belangrijke contractuele bepalingen
Een verplichting die volgt uit DORA is het opnemen van een aantal ‘belangrijke contractuele bepalingen’ (DORA noemt ze zelf belangrijk) in de overeenkomst tussen IT-dienstverlener en financiële instelling. Die belangrijke bepalingen zijn opgenomen in artikel 30 van de DORA; sommige bepalingen zijn heel concreet, bijvoorbeeld ‘de verplichting van de derde aanbieder van ICT-diensten om de financiële entiteit zonder extra kosten, of tegen een vooraf bepaalde kostprijs, bijstand te verlenen wanneer zich een incident voordoet dat verband houdt met de aan de financiële entiteit geleverde ICT-dienst’.
Andere bepalingen geven juist weer ruimte voor eigen invulling, zoals (het opnemen van) ‘bepalingen inzake het waarborgen van de toegang, het herstel en de teruggave in een gemakkelijk toegankelijk formaat van door de financiële entiteit verwerkte persoonsgegevens en niet-persoonsgebonden gegevens in geval van insolventie, afwikkeling of stopzetting van de bedrijfsactiviteiten van de derde aanbieder van ICT-diensten, of in geval van beëindiging van de contractuele overeenkomsten’.
Juridisch bindende afspraken
Hoe die bepalingen er werkelijk uitzien, is aan de betrokken partijen zelf, zolang het maar bepalingen zijn die wel echt waarborgen bieden. Dat zijn dus juridisch bindende en effectieve afspraken die rekening houden met de betreffende techniek. Conform DORA is het aan de financiële entiteit om ervoor te zorgen dat ze ICT-dienstverleners contracteren die voldoen aan passende normen op het gebied van informatiebeveiliging. Deze verplichting geldt naast de verplichting voor de financiële entiteit zelf om o.a. procedures en instrumenten te hanteren die de continuïteit en beschikbaarheid van ICT-systemen waarborgen alsook hoge normen inzake beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van gegevens te hanteren.
Als ICT-leverancier kun je hier natuurlijk op voorsorteren door zelf (bij jou) passende maatregelen te treffen, zodat je niet met iedere afnemer op maat gemaakte maatregelen hoeft af te stemmen.
Escrow
Een concrete maatregel kan natuurlijk escrow of een continuïteitsregeling zijn. Als de duurzame beschikbaarheid van de ICT-systemen op die manier zowel juridisch als technisch is ingeregeld, kan dit op meerdere punten invulling geven aan de DORA-verplichtingen. Meer weten over hoe Software Borg dit voor je kan regelen? Lees dan onze andere blog en/of neem contact met ons op voor een vrijblijvende kennismaking.
Jouw continuïteits-
oplossing
Om continuïteit voor IT-systemen te borgen, kijken wij naar het totaalplaatje: van broncode to Cloudomgeving. Wij werken hiervoor samen met (IT-) notarissen, IT-juristen en ICT-specialisten. Zo krijg jij de beste technische en juridische oplossing tegen de beste prijs.
Contact opnemen