DORA is sinds 17 januari 2025 van toepassing op financiele instellingen in EU. Cloud-providers zijn vrijwel altijd kritieke ICT-leveranciers. Wat dat voor uw cloud-architectuur en contract-management betekent.
Third-party risk management
Cloud-providers (Microsoft, AWS, Google) als kritieke ICT-leveranciers volgens DORA-art. 28+. Contract-clausules per art. 30: onder andere recht op audit, incident-reporting-verplichtingen, exit-procedures, geografische data-locatie. Bestaande contracten herzien voor compliance.
Concentration risk
Wat als 100 procent van uw kritieke ICT bij één cloud-provider zit en die uitvalt? DORA vraagt expliciete analyse van concentration risk en mitigerende maatregelen. Voor de meeste banken: multi-region binnen één cloud plus contractuele exit-mogelijkheid.
ICT-incident reporting
Major ICT-incidents binnen specifieke deadlines melden aan DNB. Cloud-incident-detectie en -classificatie procedureel inrichten. Microsoft Sentinel of AWS Security Hub plus eigen process zodat menselijk oordeel binnen uren een DORA-trigger evalueert.
Threat-led penetration testing (TLPT)
Voor significante banken: TLPT verplicht onder DORA. Cloud-omgeving onderdeel van scope. Red team test inclusief cloud-control-plane. Voorbereiden vereist samenwerking met cloud-provider voor scoping.
Verwant: Cloud consultant inhuren, Cloud consultant financieel.