Home Wat kunnen IT-juristen leren van DORA?

Wat kunnen IT-juristen leren van DORA?

februari 2, 2026

Christiaan Jeekel, zelfstandig IT-advocaat, Legal-Jeekel en docent bij Outvie

(En nee, je hoeft niet in de financiële sector werkzaam te zijn)

“DORA? Dat is toch iets voor financiële instellingen?”

Dat is vaak de eerste reactie wanneer de Digital Operational Resilience Act, ‘DORA’, ter sprake komt. Maar die reactie doet DORA tekort. Wie de verordening namelijk leest met een iets bredere blik, ziet niet alleen regelgeving voor financiële instellingen, ziet ook een uitgebreide set regels over hoe IT-inkopende organisaties hun relaties met IT-everanciers moeten organiseren, beheersen en monitoren.

Het contract is daarin geen doel op zichzelf, maar de juridische vertaling van die keuzes. Die boodschap is relevant voor veel meer dan financiële instellingen alleen. In vrijwel iedere sector zijn organisaties inmiddels kritisch afhankelijk van IT-dienstverlening. Dat maakt DORA inspirerend leesvoer voor IT-juristen die werken aan de inkoopkant — en minstens zo relevant voor juristen die IT-bedrijven adviseren.

Wat beoogt DORA eigenlijk?

DORA heeft als centrale doelstelling het vergroten van de digitale operationele weerbaarheid van financiële entiteiten. Het gaat daarbij niet primair om alleen privacy of dataprotectie, maar ook om de vraag of organisaties hun essentiële digitale processen kunnen blijven uitvoeren als het misgaat: bij cyberaanvallen, ICT-verstoringen of falende leveranciers bijvoorbeeld.

De Europese wetgever is daarbij vanuit een realistische constatering vertrokken: kernprocessen zijn diep verweven met ICT en steeds vaker uitbesteed en niet meer in eigen huis. DORA richt zich daarom niet alleen op interne beheersing, maar expliciet ook op externe ICT afhankelijkheden. DORA doet dat met name door zich te richten op ICT-risicomanagement, incidentmelding, digitale weerbaarheidstests, uitbesteding/ICT third party risk, en toezicht op ICT-dienstverleners.

Voor IT-juristen is vooral interessant hoe deze onderwerpen samenkomen. IT-risico wordt neergezet als bedrijfsrisico, en de relatie met IT-leveranciers als iets dat actief moet worden ingericht en bestuurd. Contracten zijn daarbij een essentieel hulpmiddel, maar niet het beginpunt.

Waarom juist de bepalingen over ICT-dienstverleners zo leerzaam zijn.

De meest sprekende lessen voor de IT contractspraktijk zijn te vinden in Hoofdstuk V DORA, met name in artikelen 28 en 30. Daarin verplicht DORA financiële entiteiten om hun relaties met ICT-dienstverleners zo vorm te geven dat digitale operationele risico’s daadwerkelijk beheerst worden.

Een kernbegrip daarbij is het onderscheid tussen ICT-diensten die worden gebruikt voor kritische of belangrijke functies, en niet-kritische functies. Dit onderscheid is fundamenteel. DORA accepteert dat niet elke IT-dienst dezelfde impact heeft, maar stelt tegelijkertijd dat zodra digitale dienstverlening raakt aan kritsche en belangrijke functies, zwaardere eisen gelden. Pas wanneer duidelijk is hoe kritisch en belangrijk de interne functie is die door de ICT dienst moet worden ondersteund en welke risico’s daarmee samenhangen, komt de vraag aan de orde hoe dat contractueel moet worden vastgelegd.

Voor veel organisaties is dit herkenbaar, maar nog onvoldoende expliciet gemaakt. IT-contracten zijn vaak relatief uniform ingericht, terwijl de onderliggende afhankelijkheden sterk verschillen. DORA dwingt tot een expliciete afweging aan de voorkant.

Van leveranciersrelatie naar contract

DORA benadrukt dat financiële entiteiten volledig verantwoordelijk blijven voor hun digitale weerbaarheid, ook wanneer zij ICT-diensten uitbesteden. Uitbesteding verandert niets aan die verantwoordelijkheid. Dat betekent dat organisaties actief moeten sturen op hun leveranciersrelaties, en ICT third party risk moeten opnemen in hun bredere risicomanagement.

DORA vertaalt dit naar concrete eisen aan contractuele afspraken. Afhankelijk van de aard en de mate van kritisch zijn van de te ondersteunen interne processen, moeten contracten met ICT-dienstverleners onder meer aandacht besteden aan: een duidelijke omschrijving van de diensten en hun rol in het proces; beschikbaarheids-, continuïteits- en herstelverplichtingen; beveiligingsmaatregelen en incidentafhandeling; rapportage- en informatieverplichtingen; audit- en toegangsrechten; voorwaarden voor onderaanneming; samenwerking bij toezicht of onderzoeken; en beëindiging, exit en transitie, inclusief dataoverdracht en ondersteuning.

Op zichzelf zijn deze onderwerpen niet nieuw. Het verschil zit in de samenhang en in de nadruk dat deze afspraken voortkomen uit een bewuste inrichting van de leveranciersrelatie en interne afstemming over hoe belangrijk en kritiek de te ondersteunen inerne processen zijn. DORA gaat daarmee minder over “wat moet er in het contract staan” maar meer over “hoe organiseer ik mijn afhankelijkheid van IT-leveranciers op een verantwoorde manier”.

De rol van de IT-jurist verbreedt mee

DORA past in een bredere ontwikkeling. De afgelopen jaren is de hoeveelheid Europese wetgeving op het snijvlak van IT en recht sterk toegenomen. Denk aan GDPR, NIS2, de Data Act en inmiddels ook de AI Act. Deze wetgeving verandert niet alleen het juridische kader, maar ook fundamenteel hoe organisaties hun IT-leveranciers aansturen en hoe zij risico’s organiseren. IT-contracten worden daardoor steeds minder gezien als louter juridische documenten. Ze fungeren steeds vaker als instrumenten voor governance, compliance en risicobeheersing. Dat vraagt om een andere manier van denken — en dat werkt door in een bredere rol voor juristen.

De verbreding van de rol van IT-juristen is niet nieuw. Al jaren verschuift het zwaartepunt: van het opstellen van contracten naar het begeleiden van trajecten, van juridische toetsing achteraf naar betrokkenheid vooraf. Wie nu werkt aan grote IT-uitbestedingen of digitaliseringsprogramma’s, zit allang niet meer alleen met juristen aan tafel.

DORA — en in bredere zin de golf van Europese digitale wetgeving — versterkt die ontwikkeling en maakt haar onontkoombaar. De verordening legt bloot wat in de praktijk al voelbaar was: veel onderwerpen die contractueel moeten worden vastgelegd, zijn inhoudelijk helemaal niet zo juridisch. Security-architectuur, incidentrespons, continuïteitsplanning, testprotocollen, governance — dat is geen expliciete juridische materie. Het wordt pas juridisch relevant wanneer het vertaald moet worden naar rechten, plichten en risicoverdeling.

De jurist die effectief wil zijn in dit landschap, moet kunnen samenwerken met security-specialisten, architects, risk managers, compliance officers. Niet als eindredacteur die het contract afmaakt nadat anderen het denkwerk hebben gedaan, maar als volwaardige gesprekspartner in het proces zelf. En dat vraagt ook om het vermogen te herkennen waar de eigen expertise ophoudt. Dit geldt aan beide kanten van de tafel. Aan inkoopzijde, maar net zo goed voor juristen die leveranciers adviseren. Juist daar helpt een breder begrip van risicodenken om scherper te adviseren over wat werkbaar is — en wat niet.

Conclusie

DORA is op zich sectorspecifieke regelgeving, maar de lessen reiken verder. De verordening geeft regels over IT-afhankelijkheid die ook buiten de financiële sector relevant is: bewust organiseren, actief beheersen, en het contract als vastlegging van keuzes die elders worden gemaakt. Voor IT-juristen bevestigt en versnelt DORA een ontwikkeling die al langer gaande is.

De tijd dat je als jurist in relatieve rust contracten kon opstellen, is voorbij — als die tijd al ooit bestond. Wie nu als IT jurist effectief wil opereren, moet het gesprek kunnen voeren met disciplines en over onderwerpen die traditioneel buiten het juridische domein vallen. Niet alles weten, maar wel weten wie je nodig hebt. DORA is daarvoor een uitstekende inspiratiebron.