DORA en uitbesteding aan derde ICT-dienstverleners

DORA

De Digital Operational Resilience Act (DORA) trad op 17 januari 2025 volledig in werking. Deze EU verordening zet de norm voor digitale operationele weerbaarheid in de financiële sector. Nederlandse financiële instellingen, waaronder banken, betaalinstellingen, verzekeraars, beleggingsondernemingen en beurzen, hebben te maken met striktere eisen voor het uitbesteden van ICT diensten, zwaardere contractvoorwaarden en toezicht door de AFM en DNB. Centraal staat de beheersing van ICT risico’s, incidentmelding, testen, en vooral: het managen van risico’s bij ‘derde aanbieders van ICT diensten’. Financiële instellingen moeten in dat verband onder meer een actueel register bijhouden van alle ICT dienstverleners en uitbestede ICT processen. Dit register moet op verzoek aan de toezichthouder kunnen worden overlegd en periodiek worden geactualiseerd.

DORA en derde aanbieders van ICT-diensten: wie doet wat?

De meeste DORA-vragen die wij zien gaan niet over de definities, maar over de praktijk: complexe uitbestedingsstructuren, of verhoudingen met een Managed Service Partner (MSP). Wanneer kwalificeert een relatie met een derde aanbieder als een ICT-dienstverleningsrelatie onder DORA? Wie is de ICT dienstverlener wanneer je gebruik maakt van een MSP? Hoe moeten deze rollen worden vastgelegd in het informatieregister en in rapportages aan de toezichthouder. De kern: kijk naar de contractuele keten, de feitelijke levering van ICT diensten, en het verantwoordelijkheidsverloop voor operationele weerbaarheid.

De rol van de MSP binnen DORA

DORA legt de nadruk op vijf pijlers: ICT-risicomanagement, incidentrapportage, testen van digitale weerbaarheid, beheer van ICT-uitbestedingen, en informatie-uitwisseling over dreigingen. Vooral het vierde thema – het beheer van ICT-uitbestedingen – blijkt in de praktijk uitdagend. Zeker voor kleinere financiële instellingen, die hun volledige ICT-omgeving via een Managed Service Provider (MSP) laten lopen.

Een MSP levert doorgaans het gehele IT-landschap aan een financiële instelling: van werkplekken en Microsoft 365 tot back-up, beveiliging en monitoring. Daarmee is de MSP in feite de ICT-afdeling van de financiële organisatie. Wat minder zichtbaar is, is dat de MSP zelf ook afhankelijk is van ICT-diensten leveranciers. Denk bijvoorbeeld aan Microsoft als cloudaanbieder, leveranciers van antivirussoftware, remote monitoring & management (RMM)-tools en back-ups. Deze ICT-dienstenketen is precies waar DORA naar kijkt. Want bij een incident of verstoring kan elke schakel in die keten een risico vormen voor de continuïteit van de financiële instelling. Dit roept dan ook vragen op zoals: Wat is dan de rol van de MSP, en hoe verhoudt de MSP zich tot de daadwerkelijke ICT-dienstverlener (bijv. een Microsoft)? Kwalificeert de MSP als een derde ICT-dienstverlener of valt deze juist buiten de ICT-diensten keten? Moet Microsoft worden gekwalificeerd als subcontractor of juist – mede, naast de MSP – als derde ICT-dienstverlener?

Artikel 2 lid 1 van de ITS inzake het informatieregister (JC 2023/85) hanteert de volgende definities voor het onderscheid tussen ‘directe derde ICT-diensten aanbieder’ en ‘subcontractor’:
(a) ‘directe derde ICT-diensten aanbieder’ betekent een externe ICT-dienstenaanbieder of ICT intra-groep dienstverlener die een contractuele afspraak heeft gemaakt met:

1. een financiële entiteit om ICT-diensten direct aan deze financiële entiteit te leveren;
2. een financiële of niet-financiële entiteit om ICT-diensten te leveren aan een andere financiële entiteit binnen dezelfde groep.

(b) ‘subcontractor’ betekent een derde ICT-diensten aanbieder of intra-groep ICT-diensten aanbieder die ICT-diensten levert aan een andere derde ICT-diensten aanbieder binnen dezelfde ICT-diensten keten.

We horen vaak dat partijen van mening zijn dat de MSP een ICT-dienst levert aan de financiële instelling, waarbij de MSP op haar beurt gebruik maakt van subcontractors, zoals Microsoft. In de praktijk is het evenwel belangrijk om hiervoor te kijken naar de onderliggende contracten én goed duidelijk te krijgen welke dienst(en) de MSP, respectievelijk andere ICT-dienstverleners, nu precies leveren. Zijn er alleen contracten tussen de financiële instelling en de MSP. Contracteert de MSP, op eigen naam (als reseller van), of als agent/vertegenwoordiger van de derde ICT- dienstverlener (Microsoft)?

We lichten dit nader toe aan de hand van een tweetal voorbeelden:

Voorbeeld 1: De MSP als Microsoft Cloud Solutions Provider

Veel MSP’s zijn aangesloten bij het Microsoft Cloud Solutions Provider (CSP)-programma. In die rol kan de MSP namens hun klant (dus de financiële instelling) Microsoft-producten leveren, zoals Microsoft 365, Azure en Teams. De MSP factureert de financiële instelling in dat verband ook voor de desbetreffende Microsoft productlicenties. Echter, de financiële instelling moet zelf formeel akkoord gaan met de Microsoft Customer Agreement (MCA).

In theorie is dit proces zorgvuldig geregeld, maar de praktijk lijkt weerbarstiger. Binnen het CSP-programma zijn er namelijk 2 mogelijkheden om de MCA te accorderen. Zo kan de financiële instelling rechtstreeks de MCA lezen en voor akkoord accepteren. Daarnaast is er de optie waarbij de MSP namens de financiële instelling, de MCA accepteert via een partnerverklaring (‘attest’). Dit proces en met name de tweede optie van accordering roept vragen op. Hoeveel klanten hebben daadwerkelijk kennisgenomen van de MCA? Beseffen deze klanten dat ze – ondanks de tussenkomst van hun MSP – feitelijk rechtstreeks contracteren met Microsoft?

Het gevolg hiervan is ook dat Microsoft wat betreft de ICT-diensten die zij levert, geen subcontractor is, maar een ‘directe derde ICT-diensten aanbieder’ in de zin van DORA.

Hoewel Microsoft doorgaans als een betrouwbare partij wordt beschouwd, geldt dat misschien niet altijd voor de MSP. Dat is precies waar de mogelijke risico’s kunnen ontstaan. Want wat gebeurt er als de MSP wel via jou de Microsoft licentiekosten int, maar stopt met betalen aan Microsoft? Wat als een medewerker van de MSP onrechtmatige ongeautoriseerde toegang heeft tot jouw Microsoft admin-omgeving? Kortom, wanneer de MSP de licentie- of betaalstromen beheert, en de financiële instelling zelf de klant is van Microsoft, ontstaat een potentieel kwetsbare driehoeksverhouding. In geval van een incident, faillissement of conflict bij de MSP kan de toegang van de financiële instelling tot de Microsoft-omgeving zomaar geblokkeerd raken.

Concluderend betekent dit dat voor DORA-doeleinden, Microsoft een directe derde ICT-aanbieder is, en dat financiële instellingen de afhankelijkheid van hun MSP in die relatie goed moeten begrijpen en vastleggen. Het opvragen en bewaren van de MCA en het bijbehorende Financial Services Amendment is dan ook geen formaliteit, maar een essentieel onderdeel van het compliance-dossier van de financiële instelling.

Voorbeeld 2: De remote monitoring (RMM) tools van MSP

Een ander voorbeeld betreft de ICT-tools die MSP’s veelal gebruiken voor het beheer van werkplekken bij de financiële instelling. Denk bijvoorbeeld aan ‘hulp op afstand’/remote monitoring & management-diensten. De ICT-leveranciers van dergelijke tools contracteren rechtstreeks met de MSP, niet met de financiële instelling. Dit type ICT-diensten vormen dus geen directe ICT-dienstverlening aan de financiële instelling, maar een tussenschakel (subcontractor) in de ICT-leveringsketen van de MSP.

Hoe werkt dit dan onder DORA? Dit hangt ervan af of de door de MSP geleverde ICT-diensten worden gezien als diensten die een belangrijke of kritieke functie ondersteunen. Daarvan is volgens artikel 3.22 DORA sprake bij “een functie waarvan de verstoring wezenlijk afbreuk zou doen aan de financiële prestaties van een financiële entiteit of aan de soliditeit of de continuïteit van haar diensten en activiteiten, of waarvan de beëindiging of gebrekkige of mislukte uitvoering wezenlijk afbreuk zou doen aan de permanente naleving door een financiële entiteit van de voorwaarden en verplichtingen uit hoofde van haar vergunning of haar andere verplichtingen uit hoofde van het toepasselijke recht inzake financiële diensten”.

Aldus is het belangrijk om de koppeling te maken met de functie(s) die door de ICT-dienst binnen de financiële instelling worden ondersteund. De functie ‘IT-ondersteuning’ binnen de financiële instelling wordt uitbesteed aan de MSP en wordt door de financiële instelling als niet-kritiek beschouwd, mede doordat de afdeling IT-ondersteuning zich met name bezighoudt met Microsoft 365 aangelegenheden en andere afdelingen zelf kritieke transactierapportages verrichten en deze activiteiten dus niet onder de IT-ondersteuningsfunctie vallen. Echter, Microsoft Office 365 – bijvoorbeeld Excel – wordt juist ook gebruikt door die andere afdelingen binnen de financiële instelling, waaronder de transactierapportages die wél als kritiek worden bestempeld. Dat betekent dat een incident bij de MSP in beginsel geen wezenlijk risico oplevert, maar een incident bij Microsoft wel.

Maar, stel nu dat de RMM-tool wordt gehackt en de MSP geen beheer meer kan uitvoeren. Klanten van de MSP zijn ontevreden, vrezen ook een hack en beëindigen in sneltreinvaart per direct hun contract met de MSP. Wat is dan de rol van de MSP? Is er dan een incident response scenario waarbij de financiële instelling de Microsoft Office 365 omgeving zelfstandig of via een nieuwe MSP (snel) kan overnemen?

Als het goed is, heeft de financiële instelling de compliance functie als kritiek aangemerkt en hierbij niet de MSP als leverancier van de IT-diensten gekoppeld, maar Microsoft. Als onderdeel van de Business Continuity Planning is nagedacht over de risico’s die er spelen bij de Microsoft omgeving. Hierbij zijn het niet zozeer de risico’s die Microsoft zelf beheerst relevant (hoever gaan controles op verschillende externe audits op security frameworks), maar juist risico scenario’s zoals een MSP die wegvalt.

Tips voor uitbesteding ICT-diensten onder DORA

Inmiddels zijn de meeste financiële instellingen wel bekend met DORA. De eerste risicoanalyses en beleidstukken zijn opgesteld. De AFM en DNB handhaven de toepassing en naleving van de DORA eisen. Deze toezichthouders verwachten nu een volgende stap: dieper inzicht in de ICT-keten, inclusief onderaannemers van MSP’s en hyperscalers als Microsoft.

Financiële instellingen moeten hun register en documentatie paraat hebben, ernstige ICT incidenten tijdig melden en op verzoek de benodigde informatie aanleveren. De toezichthouders kunnen onderzoeken uitvoeren naar naleving en de beheersing van ICT uitbestedingsrisico’s. Vooral financiële instellingen binnen het MKB kunnen dat stapsgewijs aanpakken:

Tip 1: Begrijp de ICT dienstverleningsketen en zorg voor inzicht in afhankelijkheden. Noteer per ICT-dienst wie de leverancier is en of er sprake is van subcontractors. Let op de kritieke functies en kijk daarbij ook naar onderlinge afhankelijkheden, bijvoorbeeld bij een MSP.

Tip 2: Zorg voor inzicht in de contractuele afspraken. Zorg dat je contracten goed in kaart hebt, en weet welke afspraken gelden. Vraag de MSP om inzage in de MCA en andere contractuele afspraken en borg waar kritiek de DORA verplichtingen rondom operationele weerbaarheid, toezichtrechten, audit, exit, concentratierisico, incidentmelding en toegang van toezichthouders. Let op de functies die met de ICT-dienst worden ondersteund en kijk ook naar onderlinge afhankelijkheden.

Tip 3: Test en documenteer. Test toegang en continuïteit en documenteer analyses en beoordelingen. Onderzoek thema’s als: “wat als Microsoft wordt gehackt?”, of “wat als de VS sancties oplegt aan Europese CSP’s”, maar onderzoek ook vragen als, “wat als mijn MSP uitvalt of de rekening van Microsoft of Google niet betaalt?” Leg vast hoe afhankelijkheden zijn beoordeeld en welke beheersmaatregelen gelden.

Conclusie

Vertrouwen is geen controle. Microsoft en andere hyperscalers genieten een groot vertrouwen. Dat is terecht. Hun platformen zijn stabiel, wereldwijd beschikbaar en voldoen aan strenge security-standaarden. Toch gaat vertrouwen soms ten koste van begrip van de contractuele realiteit. In de praktijk weten veel instellingen niet precies wat ze hebben getekend, via wie, en wie feitelijk toegang heeft tot hun cloud omgeving. Juist daar ligt een belangrijk onderdeel van DORA: weten waarop je vertrouwt en kunnen aantonen dat je de afhankelijkheden begrijpt en beheerst. Digitale weerbaarheid begint dus niet bij de techniek, maar bij het inzicht in relaties, contracten en verantwoordelijkheden. De focus van DORA verschuift van bewustwording naar inzicht en controle. Financiële instellingen moeten niet alleen kunnen aantonen dat ze beleid hebben, maar ook dat ze daadwerkelijk grip hebben op hun ICT-dienstenketen.