DORA in 2026: wat fintechs en IT-leveranciers nu moeten weten

DORA is van kracht, maar de spelregels kwamen gefaseerd binnen

DORA is bedoeld om de digitale operationele weerbaarheid van financiële instellingen te versterken en ICT-risico’s beter beheersbaar te maken. Op papier klinkt dat als één uniform Europees kader. In de praktijk bleek de invoering een stuk minder strak afgebakend.

Een belangrijk deel van de uitwerking lag namelijk bij de Europese toezichthouders, EBA, EIOPA en ESMA. Zij moesten voor verschillende onderdelen nadere regels opstellen, onder meer over ICT-incidentmanagement, dreigingsgestuurde penetratietesten en het informatieregister met ICT-contracten. Die gedelegeerde regelgeving kwam in verschillende rondes tot stand en de tijd tussen de finale teksten en de formele toepasselijkheid van DORA was krap. Daar kwam bij dat de Europese Commissie nog tijd nodig had om die voorstellen aan te nemen, en dat sommige voorstellen bovendien niet ongewijzigd werden overgenomen.

Dat speelde concreet op twee gevoelige punten. De ITS voor het informatieregister werd op 3 september 2024 afgewezen, omdat daarin de LEI als verplichte identifier voor IT-leveranciers was opgenomen, terwijl er ook kosteloze alternatieven bestaan. Ook de RTS over subcontracting werd niet onverkort aangenomen. De Commissie vond dat de ESA’s daar te ver waren gegaan door eisen te stellen aan de hele keten van onderaannemers, terwijl de uitwerking beperkt had moeten blijven tot voorwaarden voor uitbesteding. Juist dat soort aanpassingen maakt duidelijk waarom veel instellingen hun implementatie niet konden afronden alsof alle regels al lang vaststonden. Inmiddels zijn de gedelegeerde handelingen onder DORA wel finaal, met onder meer inwerkingtreding van de RTS over TLPT op 8 juli 2025 en publicatie van de RTS over subcontracting op 2 juli 2025, met inwerkingtreding op 22 juli 2025.

Voor startups en scale-ups is dit relevant omdat DORA niet alleen draait om de hoofdverordening, maar ook om de detailregels die daaronder hangen. Zeker voor fintechs en techbedrijven die leveren aan financiële instellingen is het dus niet genoeg om alleen het basisraamwerk te kennen. De echte compliance-druk zit vaak juist in de uitwerking.

Harmonisatie betekent niet dat alle oude guidance ineens weg is

DORA moet versnipperde Europese en nationale regels harmoniseren. Dat wekt al snel de indruk dat oudere richtsnoeren automatisch verdwijnen zodra DORA geldt. Zo simpel ligt het niet.

EIOPA heeft wel degelijk een deel van haar eerdere guidance ingetrokken, waaronder richtsnoeren over cloudoutsourcing en ICT security en governance. Ook heeft EIOPA een bestaande opinie over operationeel risicobeheer aangepast. EBA koos deels voor een andere route: de richtsnoeren voor ICT- en securityrisicobeheer zijn geüpdatet om beter aan te sluiten op DORA, terwijl de uitbestedingsrichtsnoeren uit 2019 vooralsnog gewoon zijn blijven gelden. Over de status van ESMA-richtsnoeren, waaronder guidance over cloudoutsourcing, waren op dat moment geen updates verschenen. Daardoor bleef ook daar bestaand kader naast DORA bestaan.

Ook nationaal zie je dat spanningsveld terug. DNB heeft aangekondigd vanaf 17 januari 2025 uitsluitend te handhaven op basis van DORA en de gedelegeerde regelgeving, en niet daarnaast ook nog op basis van de Good Practice Informatiebeveiliging. Daarmee werd bewust gekozen voor aansluiting bij het uniforme Europese kader en het voorkomen van afwijkingen tussen nationale en Europese normen.

Voor jonge techbedrijven is dit een belangrijk praktisch punt. Harmonisatie klinkt als vereenvoudiging, maar in de overgangsfase kan het juist betekenen dat meerdere lagen van guidance tegelijk relevant zijn. Wie actief is in of rond de financiële sector, doet er dus goed aan niet te snel aan te nemen dat oudere toezichtsdocumenten nergens meer een rol spelen. De vraag is eerder: welke stukken zijn ingetrokken, welke zijn aangepast en welke lopen voorlopig nog mee naast DORA? Die nuance is juridisch én operationeel van belang.

De reikwijdte van ‘ICT-diensten’ is breder, maar ook minder absoluut dan gedacht

Een van de meest praktische vragen onder DORA is wat precies als ICT-dienst kwalificeert. Dat is geen detaildiscussie. Het antwoord bepaalt mede welke contracten in beeld komen, welke leveranciers meegenomen moeten worden in governance en documentatie, en waar de implementatielast terechtkomt.

De Europese Commissie verduidelijkte op 21 januari 2025 dat het begrip ICT-diensten onder DORA bewust ruim is geformuleerd. Financiële instellingen moeten bij hun beoordeling rekening houden met de gedachte dat DORA ziet op een brede groep IT-leveranciers, ook wanneer financiële instellingen onderling ICT-diensten verlenen. Tegelijk maakte de Commissie een belangrijke uitzondering. Als een dienst primair een gereguleerde financiële dienst is, en ICT daarin slechts een component vormt of daar onlosmakelijk mee verbonden is, dan moet die dienst in beginsel als financiële dienst worden gezien en niet als ICT-dienst onder DORA. Gaat het daarentegen om een zelfstandige, losstaande dienst die aan de DORA-definitie voldoet, dan valt die wel onder het begrip ICT-dienst.

Juist die nuance is voor de markt belangrijk, omdat de tekst van DORA zelf voor veel partijen ruimte liet voor een bredere lezing. De verduidelijking kwam bovendien pas nadat DORA al van toepassing was geworden. Daardoor hebben financiële instellingen in hun implementatie mogelijk eerst met een ruimer uitgangspunt gewerkt dan uiteindelijk nodig bleek.

Voor startups en scale-ups raakt dit direct aan de afbakening van je product of dienst. Lever je technologie aan een financiële instelling, dan is de vraag niet alleen wat je technisch doet, maar vooral hoe die dienst juridisch moet worden gekwalificeerd binnen de totale dienstverlening. Dat onderscheid kan veel uitmaken voor contractonderhandelingen, informatieverzoeken van klanten en de manier waarop je in hun DORA-aanpak wordt meegenomen.

Het echte knelpunt zit niet alleen in de regels, maar in de implementatie

Dat DORA op 17 januari 2025 formeel begon te gelden, betekende niet dat de sector op die datum ook overal klaar was. Uit een sectorbrede uitvraag van DNB in de verzekerings- en pensioensector bleek dat veel instellingen verwachtten tot minstens eind 2025 nodig te hebben om volledig aan alle vereisten te voldoen. Tegelijk gaf een groot deel van de respondenten aan al een flink eind te zijn, waarbij 65 procent inschatte ongeveer 70 procent van het DORA-kader te hebben geïmplementeerd.

Waar de achterstand vooral leek te zitten, was bij niet-kritieke ICT-diensten. Instellingen hebben, mede onder invloed van toezichthouders, prioriteit gegeven aan diensten die kritieke of belangrijke functies ondersteunen. Dat is logisch. Wanneer tijd, capaciteit en duidelijkheid beperkt zijn, verschuift de aandacht vanzelf naar de onderdelen met de grootste impact op operationele weerbaarheid en toezicht.

De implementatiedruk is ook inhoudelijk goed verklaarbaar. DORA bevat een omvangrijk pakket aan vereisten dat boven op de dagelijkse bedrijfsvoering moet worden ingevoerd. Dat vraagt governance, inventarisatie, contractwerk, interne afstemming en vaak ook technische aanpassingen. Voor instellingen die eerder nog niet met vergelijkbare eisen werkten, is die stap extra groot. Daarbovenop kwam dat een deel van de nadere regelgeving en guidance pas laat beschikbaar was. Wie op tijd compliant wilde zijn, moest dus deels bouwen terwijl de laatste instructies nog niet definitief waren.

Voor founders en managementteams is dat misschien wel de belangrijkste les: DORA is geen vinklijst die je even naast een ander complianceproject legt. Het is een verandertraject dat prioritering vraagt. De volgorde waarin je risico’s, leveranciers, contracten en controles aanpakt, doet er dus echt toe. Die praktische werkelijkheid spreekt ook uit de manier waarop de sector zelf heeft moeten faseren.

Wat dit betekent voor fintechs en andere techbedrijven

Voor financiële instellingen en gereguleerde fintechs

Voor partijen die zelf onder het financiële toezicht vallen, laat de ontwikkeling rond DORA vooral zien dat compliance meer is dan een juridisch memo. De organisatie moet kunnen werken met een kader dat nog in detail werd ingevuld terwijl de hoofdverplichtingen al golden. Dat vraagt om een aanpak waarin juridische interpretatie, operationele uitvoering en leveranciersmanagement samen optrekken.

Daarnaast blijkt dat niet alles tegelijk op hetzelfde niveau kan worden uitgewerkt. De praktijk laat zien dat prioritering plaatsvindt rond kritieke en belangrijke functies. Dat is geen vrijbrief om andere onderdelen te laten liggen, maar wel een realistische les voor teams met beperkte capaciteit. Wie alles tegelijk even diep wil doen, loopt het risico tempo te verliezen op de onderdelen die het meest urgent zijn.

Voor SaaS-bedrijven en andere IT-leveranciers

Voor IT-leveranciers werkt DORA vaak indirect door via klanten. Financiële instellingen moeten hun ICT-contracten registreren, hun afhankelijkheden inzichtelijk maken en scherp kunnen uitleggen welke diensten zij inkopen en onder welke voorwaarden. Dat vergroot de kans dat leveranciers meer vragen krijgen over contractstructuur, dienstverlening en subcontracting.

De discussie over subcontracting is daarbij bijzonder relevant. Na de aanpassing van de RTS hoefden contractuele afspraken niet meer over de volledige keten van onderaannemers te gaan, maar alleen nog over de eerste rang van onderaannemers. Dat is nog steeds een relevant datapunt voor leveranciers, maar wel een minder verstrekkende uitkomst dan aanvankelijk in beeld was. Voor groeiende techbedrijven die met meerdere toeleveranciers werken, kan zo’n nuance veel schelen in de contractuele en operationele belasting.

Ook de afbakening van het begrip ICT-dienst is voor leveranciers geen abstracte exercitie. Of jouw dienst binnen DORA als ICT-dienst wordt behandeld, beïnvloedt hoe klanten jou in hun register opnemen, welke contracteisen zij stellen en hoe intensief jouw dienstverlening wordt beoordeeld in hun weerbaarheidskader. Voor techbedrijven die zich positioneren richting financiële instellingen is het daarom verstandig om hun eigen dienstverlening juridisch scherp te kunnen duiden.

DORA blijft in beweging, ook na de ingangsdatum

Een belangrijk vervolgtraject onder DORA is het informatieregister. Financiële instellingen moesten hun registers in april 2025 aanleveren bij hun nationale toezichthouder, waarna die gegevens na validatie naar de Europese toezichthouders gingen. Het doel daarvan is niet alleen administratie. De registers moeten inzicht geven in welke ICT-diensten de Europese financiële sector in overwegende mate gebruikt, zodat kritieke leveranciers kunnen worden aangewezen.

Voor die kritieke leveranciers staat veel op het spel. Zodra zij als kritisch worden aangewezen, vallen zij onder het oversight framework van DORA. Dat betekent zelfstandige verplichtingen onder DORA en rechtstreekse rapportage aan een toezichthouder. Voor de markt als geheel laat dit zien dat DORA niet alleen de vraag stelt hoe financiële instellingen hun leveranciers beheersen, maar ook hoe afhankelijkheden op sectorniveau zichtbaar en toezichtbaar worden gemaakt.

Daar blijft het niet bij. Nu de RTS over TLPT in werking zijn getreden, kunnen toezichthouders ook financiële instellingen aanwijzen die verplichte dreigingsgestuurde penetratietests moeten uitvoeren. Daarbij worden testmanagers vanuit de toezichthouder gekoppeld aan de betreffende instelling om voorbereiding en uitvoering te begeleiden. DORA schuift daarmee verder op van normstelling naar terugkerende uitvoering, rapportage en toetsing.

Voor startups en scale-ups in de techketen van de financiële sector is dat de kern: DORA is geen eenmalige implementatiedeadline, maar een kader dat steeds verder operationaliseert. Nieuwe rapportages, nadere aanwijzingen en toezichtshandelingen zorgen ervoor dat de impact doorloopt, ook nadat de eerste implementatiefase voorbij is.

Conclusie: DORA vraagt om blijvende regie

DORA heeft de financiële sector sinds 17 januari 2025 niet in een rustig en volledig uitgekristalliseerd regime gebracht, maar in een fase van doorlopende uitwerking, verduidelijking en implementatie. Dat zie je terug in de late afronding van gedelegeerde regelgeving, in de verschillende keuzes van toezichthouders rond bestaande guidance, in de verduidelijking van het begrip ICT-diensten en in de tijd die instellingen nodig hebben om het geheel werkbaar te maken.

Voor fintechs en andere techbedrijven die zakendoen met de financiële sector ligt de uitdaging daarom niet alleen in kennis van de regels, maar vooral in het kunnen vertalen daarvan naar contracten, leveranciersrelaties, prioriteiten en interne uitvoering. Juist daar wordt duidelijk of DORA een papieren verplichting blijft, of uitgroeit tot een volwassen onderdeel van digitale weerbaarheid.

‍