DORA-bewijschecklist voor ICT-leveranciers: gratis sjabloon (XLSX)
Published 11 jul 2026
By Orbiq Team

DORA-bewijschecklist voor ICT-leveranciers: gratis sjabloon (XLSX)

Gratis DORA-bewijschecklist voor ICT-leveranciers: registervelden afgestemd op het informatieregister (RoI), criticaliteitsniveaus, bewijsfrequentie per niveau en een exitstrategie-tracker.

dora
templates
third-party-risk
register-of-information
eu-regulation

Download dit sjabloon

Versie 1.0 · Bijgewerkt 11 jul 2026 · Gratis, geen e-mail vereist · Downloadbestanden in het Engels

DORA-bewijschecklist voor ICT-leveranciers: gratis sjabloon (XLSX)

Kort antwoord: deze gratis DORA-bewijschecklist voor ICT-leveranciers is een downloadbare XLSX (plus PDF en machine-leesbare Markdown; de downloadbare bestanden zijn in het Engels) die financiële entiteiten een leveranciersregister geeft dat is afgestemd op het informatieregister (Register of Information), een beoordelingsrubriek voor criticaliteit op basis van artikel 28, lid 2, van Verordening (EU) 2022/2554, een bewijschecklist per niveau gemapt op artikel 30, velden voor de openbaarmaking van de onderaannemingsketen conform artikel 29 en de onderaannemings-RTS, en een exitstrategie-tracker conform artikel 28, lid 8. De veldnamen volgen de structuur van de informatieregistersjablonen van de ESA's, vastgesteld in Uitvoeringsverordening (EU) 2024/2956 van de Commissie, zodat de gegevens die u verzamelt rechtstreeks in uw toezichtsregister vloeien.

DORA is sinds 17 januari 2025 in de hele EU van toepassing, en het toezicht is verschoven van richtsnoeren naar datakwaliteit: nationale bevoegde autoriteiten verzamelen registers nu jaarlijks, draaien de EBA-validatieregels erop en komen terug op onvolledige gegevens over leveranciers, onderaannemers en criticaliteit. De bottleneck voor de meeste complianceteams is niet het begrijpen van de regels — het is het ontbreken van één werkdocument dat bijhoudt welke leverancier, welk criticaliteitsniveau, welk bewijs, met welke frequentie. Dat is wat deze DORA-checklist voor derdenrisico doet.


Belangrijkste punten

  • Eén register, afgestemd op het RoI. Het registerblad volgt de veldlogica van de informatieregistersjablonen van de ESA's (15 sjablonen in 8 groepen onder Uitvoeringsverordening (EU) 2024/2956), zodat niets wat u bijhoudt bij indiening opnieuw gemapt hoeft te worden.
  • Criticaliteit stuurt alles. Het kernonderscheid van DORA is binair — ondersteunt de ICT-dienst een kritieke of belangrijke functie (CIF) of niet (artikel 28, lid 2). Het sjabloon voegt een operationeel derde niveau toe voor diensten met lage afhankelijkheid, zodat de bewijsinspanning past bij het risico.
  • Bewijs heeft een frequentie, geen vinkje. Artikel 30, lid 3, onder e), geeft u doorlopende monitoringrechten bij CIF-leveranciers; de checklist vertaalt die naar kwartaal- en jaarrijen voor bewijs in plaats van een eenmalig onboardingpakket.
  • Onderaannemingsketens vallen binnen de reikwijdte. Artikel 29 en Gedelegeerde Verordening (EU) 2025/532 van de Commissie verplichten u de onderaannemingsketen achter CIF-diensten te identificeren en te beoordelen — het sjabloon legt die per leverancier vast.
  • Exitstrategieën moeten gedocumenteerd en getest zijn. Artikel 28, lid 8, vereist alomvattende, gedocumenteerde, periodiek geteste exitplannen — het exitblad houdt alternatieven, transitieplannen, dataportabiliteit en testdata bij.

Wat er in het sjabloon zit

De XLSX bevat vijf werkbladen. Hier een representatieve preview van elk.

1. ICT-leveranciersregister (afgestemd op het RoI)

VeldVoorbeeldRoI- / DORA-anker
Juridische naam leverancier + LEICloudCore Europe B.V. · 5493001KJTIIGC8Y1R12ITS leveranciersidentificatie (B_05)
Contractreferentie + typeCTR-2024-018 · Zelfstandige overeenkomstITS contractuele overeenkomsten (B_02)
Type ICT-dienst (ESA-taxonomie)Cloudcomputing — IaaSITS ICT-diensten (B_04)
Ondersteunt kritieke of belangrijke functie?Ja — betalingsverwerkingArt. 28, lid 2, art. 3, punt 22
Locaties gegevensopslag/-verwerkingNederland; Ierland (DR)Art. 30, lid 2, onder b)
Contractdata, verlenging, opzegtermijn01.03.2024 → onbepaald · 6 maandenITS-contractvelden
Als CTPP aangewezen leverancier?NeeCTPP-lijst van de ESA's (nov. 2025)

2. Criticaliteitsbeoordeling

VeldOpties
Ondersteunde functieVrije tekst + functie-ID
Kritieke of belangrijke functie?Ja / Nee / In beoordeling
Criticaliteitsniveau (operationeel)Tier 1 — CIF · Tier 2 — Standaard · Tier 3 — Lage afhankelijkheid
VervangbaarheidEenvoudig / Moeilijk / Zeer complex
Vlag concentratierisicoJa / Nee (voorafgaande beoordeling art. 29)
Herbeoordeling geplandDatum (ten minste jaarlijks)

3. Bewijschecklist (per niveau, met frequentie)

BewijscategorieVoorbeeldbewijsDORA-ankerFrequentie Tier 1Frequentie Tier 2/3
BeveiligingscertificeringISO/IEC 27001-certificaatArt. 28, leden 4–5, due diligenceJaarlijksJaarlijks (T2) / Bij onboarding (T3)
Onafhankelijke assuranceISAE 3402- / ISAE 3000-rapportArt. 30, lid 3, onder e), monitoringrechtenJaarlijksOp verzoek
Service-level-rapportageSLA-prestatierapportenArt. 30, lid 3, onder a)Per kwartaal
WeerbaarheidstestsSamenvatting pentest; bevestiging TLPT-medewerkingArt. 30, lid 3, onder c)–d), art. 26–27Jaarlijks / per TLPT-cyclus
Medewerking bij incidentenIncidentnotificatie-SLA + contactmatrixArt. 30, lid 2, onder f), art. 19Jaarlijkse reviewJaarlijkse review
Openbaarmaking onderaannemingActuele onderaannemerslijst + locatiesArt. 29; GV (EU) 2025/532Per kwartaalJaarlijks (T2)
BedrijfscontinuïteitBCP/DR-testresultatenArt. 30, lid 3, onder c)Jaarlijks
Exit-gereedheidVerklaring dataportabiliteit; getest exitplanArt. 28, lid 8, art. 30, lid 3, onder f)Jaarlijkse test

4. Onderaannemingsketen en exitstrategie

Voor elke Tier 1-leverancier: naam onderaannemer, jurisdictie, ondersteunde dienst, gegevenslocaties in de keten, vlag voor zorgen over ketenlengte — plus exitvelden: geïdentificeerde alternatieve leverancier of interne optie, contractueel overeengekomen transitieperiode, formaat van gegevensteruggave, datum van de laatste exitplantest en noodmaatregelen.

5. Instructies

Velddefinities, enum-waarden en een voorgestelde kwartaalreviewworkflow.


Zo gebruikt u deze checklist

  1. Eerst inventariseren. Zet elke ICT-dienstovereenkomst in het registerblad — het DORA-register dekt alle contractuele overeenkomsten over ICT-diensten, niet alleen cloud of alleen kritieke diensten (artikel 28, lid 3).
  2. Classificeren. Haal elke overeenkomst door het blad Criticaliteitsbeoordeling. De CIF-bepaling (artikel 28, lid 2) beslist of de volledige contractuele bepalingen van artikel 30, lid 3, en de Tier 1-bewijsset van toepassing zijn.
  3. Verzamelen op frequentie. Werk het blad Bewijschecklist per kwartaal af voor Tier 1-leveranciers en jaarlijks voor de rest. Koppel bewijsreferenties, geen documenten — het blad houdt status en data bij.
  4. De keten in kaart brengen. Vul voor elke Tier 1-leverancier de onderaannemingsvelden in. Kunt u niet vaststellen wie de dienst feitelijk draagt, dan is dat op zichzelf een bevinding.
  5. De exit testen. Evalueer en test exitplannen volgens het schema dat het blad bijhoudt — een ongetest exitplan haalt de lat van 'voldoende getest' uit artikel 28, lid 8, niet.
  6. Het register voeden. Zet in het indieningsvenster van uw NCA de gestructureerde gegevens over naar het officiële EBA-rapportagepakket en draai de validatieregels vóór indiening.

Een opmerking over timing: er is geen enkele universele EU-deadline voor ondernemingen. NCA's bepalen hun eigen vensters — de Central Bank of Ireland verzamelde de registers voor 2026 bijvoorbeeld tussen 2 en 31 maart 2026 tegen een referentiedatum van 31 december 2025, zodat autoriteiten geconsolideerde registers uiterlijk 31 maart aan de ESA's konden doorsturen. Verifieer uw venster bij uw eigen bevoegde autoriteit.


Juridische grondslag

  • Artikel 28, lid 2 — beoordeel vóór het sluiten van het contract of de overeenkomst ICT-diensten betreft die een kritieke of belangrijke functie ondersteunen, of aan de toezichtsvoorwaarden is voldaan, en alle relevante risico's, waaronder concentratierisico.
  • Artikel 28, lid 3 — houd het informatieregister bij en actualiseer het op entiteits-, gesubconsolideerd en geconsolideerd niveau; rapporteer ten minste jaarlijks over nieuwe overeenkomsten; stel het register ter beschikking van de bevoegde autoriteit.
  • Artikel 28, lid 8 — zorg voor CIF-diensten voor gedocumenteerde, alomvattende, voldoende geteste en periodiek geëvalueerde exitstrategieën, identificeer alternatieve oplossingen en ontwikkel transitieplannen voor de veilige en integrale overdracht van diensten en gegevens.
  • Artikel 29 — voorafgaande beoordeling van ICT-concentratierisico, inclusief risico's van lange of complexe onderaannemingsketens en onderaannemers in derde landen.
  • Artikel 30, leden 2 en 3 — contractuele basisbepalingen voor alle ICT-diensten (lid 2), plus de CIF-extra's (lid 3): volledige SLA-beschrijvingen met kwantitatieve doelen (a), kennisgevings- en rapportageverplichtingen (b), continuïteits- en beveiligingseisen (c), TLPT-deelname (d), doorlopende monitoring met toegangs-, inspectie- en auditrechten (e), en exitstrategieën met een verplichte toereikende transitieperiode (f).
  • Uitvoeringsverordening (EU) 2024/2956 van de Commissie (29 november 2024) — de ITS van de ESA's met de standaardsjablonen voor het informatieregister: 15 sjablonen in 8 groepen, verbonden door relationele sleutels, ingediend bij NCA's in het rapportageformaat van de EBA.
  • Gedelegeerde Verordening (EU) 2025/532 van de Commissie (24 maart 2025, van kracht 22 juli 2025) — RTS die specificeert wat financiële entiteiten moeten bepalen en beoordelen bij het uitbesteden van ICT-diensten die kritieke of belangrijke functies ondersteunen.
  • EBA-rapportagemateriaal voor het informatieregister — officieel datamodel, validatieregels en datakwaliteitsmateriaal.

Voor het volledige regulatoire beeld, zie onze DORA-compliancegids; waarom de artikelen 19, 28 en 30 een traditioneel ISMS ontgroeien, leest u in de analyse van DORA-artikelen 19, 28 en 30.


VK, Noorwegen en de EER

VK: er is geen Britse DORA. Britse ondernemingen opereren onder het operationele-weerbaarheidsregime van de FCA/PRA (FCA PS21/3 en PRA SS1/21) — belangrijke bedrijfsdiensten, impacttoleranties en scenariotests, volledig van kracht sinds 31 maart 2025 — plus het regime voor kritieke derde partijen onder FSMA 2023 (PS16/24, van kracht sinds januari 2025). Het VK vereist interne mapping en een levende zelfbeoordeling, maar geen indiening van een informatieregister. Groepen die beide markten bestrijken, kunnen deze checklist toch als superset gebruiken: de DORA-bewijsset dekt wat de Britse mapping vereist.

Noorwegen / EER: DORA is op 20 februari 2025 opgenomen in de EER-overeenkomst, en de Noorse DORA-wet is op 1 juli 2025 in werking getreden, ter vervanging van de vroegere ICT-verordening (IKT-forskriften) voor entiteiten binnen de reikwijdte. Finanstilsynet is de bevoegde autoriteit en verzamelt registerinformatie en incidentmeldingen — Noorse financiële entiteiten moeten deze checklist dus precies zo behandelen als hun EU-tegenhangers, met de vensters en formulieren van Finanstilsynet in plaats van die van hun NCA. Weegt u elders in uw groep DORA af tegen NIS2-verplichtingen, dan brengt onze vergelijking DORA vs. NIS2 de verschillen in kaart.


Houd het register continu actueel

Een spreadsheet brengt u door de eerste indiening. Wat toezichthouders in toenemende mate toetsen, is of het register continu wordt bijgewerkt — nieuwe onderaannemers gemeld, bewijs op frequentie ververst, criticaliteit herbeoordeeld wanneer functies veranderen. Het Vendor Assurance Platform van Orbiq automatiseert precies deze laag: gestructureerde leveranciersrecords, bewijsverzameling met vervaltracking en continue monitoring van de beveiligingspositie van ICT-leveranciers — gebouwd voor Europese financiële entiteiten, met EU-dataresidentie. Voor de beoordelingsmethodiek achter de criticaliteitsrubriek is ons sjabloon voor leveranciersrisicobeoordeling de natuurlijke metgezel. De machine-leesbare Markdown-variant van deze checklist is beschikbaar op /downloads/templates/dora-ict-provider-evidence-checklist.md voor AI-agent-workflows.


Bronnen en verwijzingen

  1. Verordening (EU) 2022/2554 (DORA) — EUR-Lex — tekst in het Publicatieblad; verwijzingen naar de artikelen 28, 29 en 30
  2. Uitvoeringsverordening (EU) 2024/2956 van de Commissie — EUR-Lex — ITS over de standaardsjablonen voor het informatieregister
  3. Gedelegeerde Verordening (EU) 2025/532 van de Commissie — EUR-Lex — RTS over het uitbesteden van ICT-diensten die kritieke of belangrijke functies ondersteunen
  4. EBA — Preparation for DORA application: rapportagemateriaal informatieregister — datamodel, validatieregels en datakwaliteitsmateriaal
  5. EBA — Joint RTS on subcontracting — status en toepassingsdatum van de onderaannemings-RTS
  6. Central Bank of Ireland — Reporting of Registers of Information — voorbeeld van een NCA-indieningsvenster voor 2026
  7. FCA PS21/3 — Building Operational Resilience — Brits regime voor operationele weerbaarheid
  8. Finanstilsynet — Noorse DORA-wet van kracht op 1 juli 2025 — Noorse implementatie en bevoegde autoriteit

Download dit sjabloon

Versie 1.0 · Bijgewerkt 11 jul 2026 · Gratis, geen e-mail vereist · Downloadbestanden in het Engels

Veelgestelde vragen

Wat is het DORA-informatieregister (Register of Information)?

Het informatieregister is het gestructureerde register van alle contractuele overeenkomsten over het gebruik van ICT-diensten dat financiële entiteiten moeten bijhouden op grond van artikel 28, lid 3, van Verordening (EU) 2022/2554 (DORA). Het moet op entiteits-, gesubconsolideerd en geconsolideerd niveau worden bijgehouden, onderscheid maken tussen overeenkomsten die kritieke of belangrijke functies ondersteunen, en aan de nationale bevoegde autoriteit worden gerapporteerd volgens de standaardsjablonen in Uitvoeringsverordening (EU) 2024/2956 van de Commissie.

Welk bewijs moeten financiële entiteiten onder DORA verzamelen bij ICT-leveranciers?

Dat hangt af van de criticaliteit. Voor ICT-diensten die kritieke of belangrijke functies ondersteunen, vereist DORA-artikel 30, lid 3, contractuele rechten op volledige service-level-rapportage, medewerking bij incidenten, deelname aan TLPT, doorlopende monitoring met audit- en inspectierechten en exit-ondersteuning — entiteiten moeten dus SLA-rapporten, ISO/IEC 27001-certificaten of ISAE-assurancerapporten, resultaten van weerbaarheidstests, openbaarmakingen van de onderaannemingsketen en geteste exitplannen verzamelen. Voor niet-kritieke diensten volstaat basisbewijs volgens artikel 30, lid 2, zoals dienstbeschrijvingen, gegevenslocaties en beveiligingstoezeggingen.

Is er één EU-deadline voor de indiening van het informatieregister in 2026?

Nee. Nationale bevoegde autoriteiten stellen hun eigen indieningsvensters vast voor financiële entiteiten — de Central Bank of Ireland verzamelde de registers voor 2026 bijvoorbeeld tussen 2 en 31 maart 2026, met 31 december 2025 als referentiedatum. De datum van 31 maart begrenst wanneer NCA's geconsolideerde registers doorsturen naar de ESA's, niet wanneer elke onderneming indient. Verifieer het venster altijd bij uw eigen bevoegde autoriteit.

Wat moet een DORA-exitstrategie bevatten?

Op grond van artikel 28, lid 8, moeten exitstrategieën voor ICT-diensten die kritieke of belangrijke functies ondersteunen, alomvattend, gedocumenteerd, voldoende getest en periodiek geëvalueerd zijn. Ze moeten alternatieve oplossingen identificeren, transitieplannen bevatten om diensten en gegevens bij de leverancier weg te halen en veilig over te dragen aan een alternatieve leverancier of intern, en gedekt zijn door noodmaatregelen die de bedrijfsvoering draaiende houden als de leverancier uitvalt of de dienstkwaliteit verslechtert.

Geldt DORA in het VK?

Nee. Het VK kent geen directe DORA-tegenhanger. Britse ondernemingen volgen het operationele-weerbaarheidsregime van de FCA/PRA (FCA PS21/3 en PRA SS1/21, volledig van kracht sinds 31 maart 2025), gebouwd op belangrijke bedrijfsdiensten en impacttoleranties, plus het regime voor kritieke derde partijen onder FSMA 2023. Het Britse regime vereist interne mapping en zelfbeoordeling, maar geen indiening van een informatieregister in DORA-stijl.

Geldt DORA in Noorwegen?

Ja. DORA is op 20 februari 2025 opgenomen in de EER-overeenkomst, en de Noorse nationale DORA-wet (Lov om digital operasjonell motstandsdyktighet i finanssektoren) is op 1 juli 2025 in werking getreden, ter vervanging van de vroegere ICT-verordening voor entiteiten binnen de reikwijdte. Finanstilsynet is de bevoegde autoriteit en verzamelt incidentmeldingen en registerinformatie van Noorse financiële entiteiten.

DORA-bewijschecklist voor ICT-leveranciers: gratis...