CRM en DORA: compliance-aanpak voor financiële sector

DORA (Digital Operational Resilience Act) verplicht sinds 2025 financiële instellingen tot specifieke operationele-resilience-eisen. CRM valt onder ICT-systemen waar DORA op van toepassing is. Voor banken, verzekeraars, asset-managers en betaal-instellingen is DORA-compliance voor CRM verplicht.

DORA-pijlers voor CRM

1) ICT risk management: CRM als kritisch systeem geïnventariseerd, risico's geadresseerd. 2) Incident reporting: significant ICT-incident binnen X uur gemeld aan toezichthouder. 3) Operational resilience testing: jaarlijkse tests inclusief penetration testing. 4) ICT third-party risk: CRM-vendor onder DORA-toezicht via contract. 5) Information sharing met sector-peers over incidenten.

CRM-vendor als ICT third-party

Salesforce, HubSpot, Dynamics 365 als ICT-service-providers vallen onder DORA-third-party-eisen. Vereisten: gedetailleerd contract met security-en-resilience-clausules, exit-strategie, audit-rechten, sub-processor-management. Vendor moet kunnen aantonen dat ze zelf DORA-conform werken.

Operational resilience testing

Jaarlijkse Threat-Led Penetration Testing (TLPT) voor significant entities. Reguliere vulnerability assessments. Disaster recovery testing voor CRM-systeem. Business continuity testing inclusief fail-over scenarios. Documentatie van alle tests beschikbaar voor toezichthouder.

Incident reporting

Klassen van incidenten met verschillende meldtermijnen. Initial notification binnen 4 uur. Intermediate report binnen 72 uur. Final report binnen 1 maand. Voor CRM-context: significant data-incident, langdurige outage, vendor-security-breach moeten gemeld.

ICT risk management framework

CRM in ICT-asset-register met criticality-rating. Risico-assessment met threats (vendor outage, data breach, cyber attack). Mitigation-strategie. Doorlopende monitoring. Jaarlijkse review en update. Board-approval van risk-framework.

Implementatie-traject

Gap-analyse versus DORA-vereisten: 4 tot 8 weken. Implementation roadmap voor gaps: 4 tot 12 maanden afhankelijk van scope. Doorlopende compliance-cadans: 1 tot 2 dagen consultant per maand of dedicated DORA Compliance Officer-functie.

Kosten

Gap-analyse en roadmap: 25.000 tot 80.000 euro. Implementatie van gap-closure: 100.000 tot 800.000 euro voor mid-size financial services-organisatie. Doorlopende compliance: 150.000 tot 600.000 euro per jaar inclusief testing, monitoring, reporting.

Een gratis kennismaking?

Een kennismaking met een van onze CRM-consultants kost u niets en levert in 45 tot 60 minuten een concrete plan-aanzet op. Vraag de kennismaking aan.

Verwant: Freelance CRM consultant, CRM voor financiële dienstverlening.