Ja, wij hebben een webshop 😉.

Ben je op zoek naar juridisch advies of het betere maatwerk voor je contracten of policies? Check ons aanbod!

DORA Compliance: ook jij als developer of IT-leverancier moet opletten

27.08.2025 Leesduur: 4 minuten

Sinds begin 2025 geldt de Digital Operational Resilience Act (DORA) in heel Europa. De wet is bedoeld om de digitale weerbaarheid van de financiële sector te verbeteren, maar de impact ervan stopt daar niet. Ook jij als softwareontwikkelaar, webbouwer of ICT-dienstverlener krijgt ermee te maken. Meer nog, toeleveranciers van financiële instellingen liggen onder hetzelfde vergrootglas. 

DORA: cybersecurity voor banken én toeleveranciers

DORA legt zware verplichtingen op aan banken, verzekeraars, beleggingsinstellingen en een hele resem andere gereguleerde financiële entiteiten. Maar cruciaal is dat ook hun toeleveranciers onder datzelfde vergrootglas komen te liggen. De wet draait immers om digitale weerbaarheid en dat kan alleen als de hele keten (van bank tot kleinste subcontractor) stevig beveiligd is.

We werken bij Sirius Legal voor heel wat web en app ontwikkelaars, onder meer door ons jarenlange partnership met Feweb. We merken het duidelijk: ook software developers, web builders en andere IT-dienstverleners worden rechtstreeks meegezogen in de DORA-compliance. Soms omdat ze rechtstreeks aan een gereguleerde instelling leveren, soms omdat hun klanten onder DORA vallen en op hun beurt alle toeleveranciers dwingen om mee te stappen in het verhaal. Die impact wordt vandaag nog zwaar onderschat.

Het gaat dus ook om hostingproviders, SaaS-aanbieders, softwarebedrijven, cloudoplossingen, systeembeheerders, cybersecurity-consultants en iedereen die mee aan de digitale infrastructuur van de sector bouwt. DORA maakt van cybersecurity geen vrijblijvende afspraak meer, maar een onontkoombare verplichting voor de hele sector.

Wat betekent dat concreet voor jouw bedrijf?

Jouw financiële klant moet in detail kunnen aantonen welke ICT-diensten hij gebruikt, wie ze levert, welke risico’s eraan vasthangen en welke maatregelen er zijn om die risico’s te beheersen. En dat moet niet alleen voor directe leveranciers, maar ook voor alle subcontractors verder in de keten. Met andere woorden: jouw contracten, je onderaannemers, je continuïteitsplannen en je technische documentatie worden plots mee onderwerp van audit en toezicht.

Concreet betekent dit dat jij als IT-leverancier niet langer zomaar zelf de contractvoorwaarden bepaalt. Plots bepaalt de financiële klant het kader, en moet jij kunnen aantonen dat jouw werking past binnen hun risk framework. Dat wringt soms. Zeker als je zelf afhankelijk bent van Amerikaanse techspelers die weinig marge laten voor transparantie of aanpassing van voorwaarden.

Het is dus cruciaal om een interne DORA-audit te overwegen. Breng je processen, je documentatie, je onderaannemers en je technische continuïteitsplannen in kaart. Kijk na of:

  • je duidelijke contractuele afspraken hebt rond dienstverlening en exit,
  • je je eigen leveranciers op risico’s screent en documenteert,
  • je kan meewerken aan incidentenrapportering telkens de klant daarom vraagt,
  • je cybersecurity maatregelen in lijn zijn met best practices in de sector,
  • je in staat bent om audits en inspecties door klanten of toezichthouders te faciliteren.

 

Zodra je zelf weet waar je staat, is het tijd om je contracten aan te passen, met name op vlak van garanties, SLA’s, Maintenance & Supportverplichtingen, etc… zal wat bijsturing zeker op zijn plaats zijn.

Daarnaast is DORA een opportuniteit om je bredere cybersecurity strategie te herbekijken. Als digitale dienstverlener is veiligheid immers geen extraatje, maar een fundamenteel onderdeel van je geloofwaardigheid. Je klant moet kunnen vertrouwen op de stabiliteit, integriteit en veiligheid van jouw systemen. Wie dat geloofwaardig kan aantonen, scoort niet alleen beter bij DORA-gevoelige klanten, maar bouwt ook aan zijn langetermijnreputatie.

Tijd om je contracten en processen onder de loep te nemen

Wacht je tot je klant met een nieuwe contractversie afkomt? Of neem je zelf het initiatief om je werking DORA-ready te maken? Wie proactief handelt, zit straks sterker in onderhandelingen, vermijdt risico’s en bewijst aan financiële klanten dat je hun compliance serieus neemt.

Bij Sirius Legal helpen we IT-dienstverleners al jaren om contractueel sterk te staan. We zorgen voor juridisch sluitende, werkbare afspraken die tegelijk voldoen aan DORA én realistisch blijven voor jouw businessmodel.

Vragen over DORA? Daar kunnen we samen naar kijken…

Wil je snel een beeld krijgen van wat DORA betekent voor jouw ontwikkeling‑ of hostingbedrijf? Boek dan hier een vrijblijvende videocall met één van onze specialisten via de link naast dit artikel. We maken graag tijd, zonder verplichting en in alle transparantie.

Plan hier een videocall

Sirius Shop

Interessant voor jou in onze webshop

  • Risk Assessment met interviews
  • Juridische inventaris en documentatie
  • 3u coaching en advies

Deze legal Quickscan is een cruciale eerste stap naar cyberveiligheid voor jouw bedrijf.

meer

Contract Review

500 excl. btw
  • Contract Review
  • Adviesgesprek via videocall
  • Digitale ondertekening

Heb je een second opinion nodig voor je contract met een nieuwe leverancier, freelancer of projectontwikkelaar? Wij checken je contract op alle risico’s!

meer
  • Development contract
  • Adviesgesprek via videocall

In dit contract maak je met je klant duidelijke afspraken over de ontwikkeling van een website, applicatie of eender welke software.

meer