Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > DORA Artikel 28 Vereiste: Waarom Britse banken gedocumenteerde exitstrategieën nodig hebben voor ICT-diensten van derden
DORA Artikel 28 Vereiste: Waarom Britse banken gedocumenteerde exitstrategieën nodig hebben voor ICT-diensten van derden

DORA Artikel 28 Vereiste: Waarom Britse banken gedocumenteerde exitstrategieën nodig hebben voor ICT-diensten van derden

by Danielle Barbour updated mei 24, 2026 Risico van derden
Reading Time: 7 minutes

Financiële instellingen in het VK staan onder toenemende druk om aantoonbaar volledige controle te hebben over hun ICT-derdepartijrelaties. DORA Artikel 28 stelt specifieke vereisten voor gedocumenteerde exitstrategieën waarmee banken kritieke leveranciersrelaties kunnen beëindigen zonder operationele continuïteit of naleving van regelgeving in gevaar te brengen.

De uitdaging gaat verder dan alleen standaardbepalingen over contractbeëindiging. Banken moeten aantonen dat zij volledige datamigratie kunnen uitvoeren, de continuïteit van dienstverlening kunnen waarborgen en alle vereiste documentatie voor regelgeving kunnen behouden tijdens leverancierswisselingen. Deze operationele complexiteit vereist architectonische planning die veel instellingen nog niet effectief hebben geïmplementeerd.

Deze analyse onderzoekt hoe Britse banken verdedigbare exitstrategieën kunnen opbouwen die voldoen aan de vereisten van DORA Artikel 28, terwijl ze de wendbaarheid behouden die nodig is voor competitieve derdepartijrelaties.

Toepasselijkheid van DORA op Britse Banken na Brexit

DORA is een EU-verordening en is niet standaard rechtstreeks van toepassing op alle Britse banken. Toch reikt de invloed van de verordening op de Britse financiële sector verder dan op het eerste gezicht lijkt, en instellingen moeten hun specifieke blootstelling zorgvuldig beoordelen.

Britse banken met EU-vestigingen, dochterondernemingen of gereguleerde entiteiten die actief zijn binnen EU-lidstaten vallen direct onder DORA en moeten volledig voldoen aan de vereisten, inclusief de exitstrategie-bepalingen van Artikel 28. Evenzo kunnen Britse bedrijven die ICT-diensten leveren aan EU-financiële instellingen als derdepartijleverancier binnen de reikwijdte van DORA vallen wanneer deze diensten als kritiek of belangrijk worden aangemerkt volgens de risicoclassificatiecriteria van de verordening.

Voor uitsluitend Britse instellingen zonder EU-activiteiten of ICT-diensten gericht op de EU geldt geen directe wettelijke verplichting. De FCA en PRA hebben echter duidelijk aangegeven zich te richten op DORA-principes via hun eigen kaders voor operationele weerbaarheid, zoals SS2/21 en PS6/21, die vergelijkbare verwachtingen stellen aan risicobeheer van derde partijen, exitplanning en servicecontinuïteit. Britse banken moeten de normen van DORA Artikel 28 daarom zien als richtinggevend voor de nationale regulatoire verwachting, ongeacht of ze formeel onder de reikwijdte vallen.

Samenvatting voor het management

DORA Artikel 28 verplicht financiële instellingen om volledige exitstrategieën te onderhouden voor alle kritieke ICT-derdepartijdiensten, inclusief gedetailleerde plannen voor dataportabiliteit, maatregelen voor servicecontinuïteit en het behoud van naleving van regelgeving. Britse banken moeten aantonen dat zij leverancierswissels kunnen uitvoeren zonder operationele verstoring of nalevingsgaten, wat architectonische benaderingen vereist waarbij exitgereedheid vanaf het begin in derdepartijrelaties wordt ingebed in plaats van als contractuele bijzaak te worden behandeld.

Belangrijkste inzichten

  1. DORA Artikel 28-verplichtingen. Vereist volledige exitstrategieën voor kritieke ICT-derdepartijdiensten, inclusief dataportabiliteit, servicecontinuïteit en behoud van naleving van regelgeving.
  2. Blootstelling van Britse banken. Rechtstreeks van toepassing op instellingen met EU-activiteiten of ICT-diensten aan EU-bedrijven; anderen moeten zich richten op vergelijkbare verwachtingen van FCA en PRA op het gebied van operationele weerbaarheid.
  3. Kernonderdelen van exitstrategieën. Vereisen dataclassificatie, gestandaardiseerde migratieformaten, identificatie van alternatieve aanbieders en voortdurende audittrail-behoud gedurende de overgang.
  4. Proactieve architectonische gereedheid. Exitplanning moet vanaf het begin worden ingebed in het derdepartijbeheer om beveiliging, naleving en operationele continuïteit te waarborgen onder toezicht van de toezichthouder.

Kritieke onderdelen van DORA-conforme exitstrategieën

Banken moeten exitstrategieën ontwerpen die meerdere operationele dimensies tegelijkertijd adresseren. De vereisten van DORA Artikel 28 gaan verder dan traditioneel contractbeheer en omvatten datasoevereiniteit, servicecontinuïteit en het behoud van regulatoire documentatie tijdens leverancierswisselingen.

Effectieve exitstrategieën beginnen met volledige dataclassificatie die alle informatiestromen tussen de bank en derdepartijleveranciers identificeert. Deze mapping moet niet alleen primaire dataopslag omvatten, maar ook metadata, audittrails en compliance-documentatie die toezichthouders verwachten tijdens en na leveranciersovergangen toegankelijk te blijven.

Servicecontinuïteitsplanning vereist dat banken alternatieve leveringsmechanismen identificeren voor elke kritieke functie die door derdepartijleveranciers wordt geleverd. Deze analyse moet rekening houden met technische compatibiliteit, goedkeuringstermijnen van toezichthouders en operationele capaciteitsbeperkingen die de uitvoering van de overgang kunnen vertragen.

Dataportabiliteit en migratieplanning

Dataportabiliteit is een van de technisch meest complexe aspecten van DORA-conforme exitstrategieën. Banken moeten ervoor zorgen dat zij alle relevante gegevens kunnen extraheren, valideren en migreren zonder integriteit of regulatoire traceerbaarheid in gevaar te brengen.

Effectieve datamigratieplanning vereist gestandaardiseerde exportformaten die de continuïteit van audittrails en nauwkeurige regulatoire mapping behouden. Banken hebben mechanismen nodig om de volledigheid van gegevens tijdens extractie te verifiëren, terwijl gevoelige informatie gedurende het migratieproces beschermd blijft.

Migratietijdlijnen moeten rekening houden met vereisten voor goedkeuring door toezichthouders, technische validatieprocedures en operationele tests die aantonen dat een gelijkwaardig serviceniveau wordt geleverd. Veel banken onderschatten de coördinatie die nodig is tussen interne teams, vertrekkende leveranciers en vervangende aanbieders tijdens deze overgangen.

Servicecontinuïteit en alternatieve voorziening

Servicecontinuïteitsplanning vereist dat banken levensvatbare alternatieven identificeren voor elke kritieke functie voordat zij derdepartijrelaties aangaan. Deze proactieve aanpak maakt snellere overgang mogelijk en vermindert operationeel risico tijdens leverancierswissels.

Analyse van alternatieve voorziening moet technische compatibiliteit, nalevingsstatus en operationele capaciteit van potentiële vervangende leveranciers beoordelen. Banken moeten actuele beoordelingen bijhouden van marktalternatieven, inclusief kostenstructuren en implementatietijdlijnen die snelle overgang ondersteunen wanneer dat nodig is.

Continuïteitstests valideren dat alternatieve aanbieders een gelijkwaardig serviceniveau kunnen leveren zonder naleving van regelgeving of operationele efficiëntie in gevaar te brengen. Deze tests moeten regelmatig plaatsvinden om te waarborgen dat vervangingsopties levensvatbaar blijven naarmate zowel de vereisten van de bank als de mogelijkheden van leveranciers evolueren.

Behoud van regulatoire documentatie en audittrails

DORA-naleving vereist dat banken volledige audittrails en regulatoire documentatie behouden tijdens derdepartijovergangen. Dit behoud gaat verder dan alleen gegevensbewaring en omvat compliance-mapping, risicobeoordelingen en operationele monitoringrecords die continue naleving van regelgeving aantonen.

Strategieën voor documentatiebehoud moeten waarborgen dat audittrails toegankelijk en juridisch verdedigbaar blijven tijdens leveranciersovergangen. Banken hebben mechanismen nodig om compliance-records te extraheren en tegelijkertijd hun bewijskracht te behouden voor regulatoire controles en intern risicobeheer.

Continuïteit van regulatoire mapping vereist dat banken aantonen dat vervangende leveranciers een gelijkwaardige compliance-status kunnen behouden zonder gaten in monitoring- of rapportagecapaciteit. Deze continuïteit moet aantoonbaar zijn via test- en validatieprocedures die toezichthouders kunnen onderzoeken en verifiëren.

Afstemming op compliance-kaders

Exitstrategieën moeten aantonen hoe leveranciersovergangen de afstemming op toepasselijke compliance-kaders behouden gedurende het hele veranderingsproces. Deze afstemming vereist gedetailleerde mapping tussen de mogelijkheden van leveranciers en specifieke compliance-verplichtingen waaraan de bank moet voldoen.

Validatieprocedures voor compliance moeten verifiëren dat vervangende leveranciers gelijkwaardige rapportage, risicobewaking en audittrailgeneratie kunnen leveren. Banken moeten deze gelijkwaardigheid aantonen via tests en documentatie die toezichthouders tijdens overgangsperiodes kunnen beoordelen.

Afstemming op kaders strekt zich uit tot vereisten voor gegevensprivacy, normen voor operationele weerbaarheid en verwachtingen voor risicobeheer die toezichthouders continu monitoren. Exitstrategieën moeten expliciet aangeven hoe aan deze verplichtingen wordt voldaan tijdens leveranciersovergangen.

Operationeel risicobeheer tijdens leveranciersovergangen

Leveranciersovergangen brengen operationele risico’s met zich mee die banken moeten identificeren, beoordelen en beperken via volledige plannings- en uitvoeringskaders. DORA Artikel 28 benadrukt het belang van het behouden van operationele weerbaarheid tijdens wijzigingen in derdepartijrelaties.

Processen voor risico-identificatie moeten technische integratie-uitdagingen, datamigratiecomplexiteit en servicecontinuïteitsgaten vastleggen die de operationele effectiviteit tijdens overgangen kunnen ondermijnen. Banken moeten risicoregisters ontwikkelen die zowel verwachte uitdagingen als noodscenario’s adresseren waarvoor alternatieve benaderingen nodig zijn.

Beperkende strategieën vereisen coördinatie tussen interne teams, vertrekkende leveranciers en vervangende aanbieders om een soepele kennisoverdracht en serviceoverdracht te waarborgen. Deze coördinatie moet beveiligingscontroles en naleving van regelgeving gedurende het hele overgangsproces behouden.

Communicatie met stakeholders en verandermanagement

Effectieve leveranciersovergangen vereisen volledige communicatiestrategieën die alle stakeholders op de hoogte houden van voortgang, uitdagingen en aanpassingen in tijdlijnen gedurende het proces. Deze communicatie moet transparantie afwegen tegen vertrouwelijkheidseisen die gevoelige commerciële en operationele informatie beschermen.

Verandermanagementprocessen moeten waarborgen dat interne teams hun rollen en verantwoordelijkheden begrijpen tijdens leveranciersovergangen, terwijl de operationele focus op dagelijkse activiteiten behouden blijft. Banken moeten duidelijke escalatieprocedures bieden voor kwesties die het succes van de overgang of naleving van regelgeving in gevaar kunnen brengen.

Extern stakeholdermanagement omvat coördinatie met toezichthouders, zakenpartners en klanten die mogelijk worden beïnvloed door servicewijzigingen tijdens leveranciersovergangen. Banken moeten communicatiesjablonen en goedkeuringsprocessen ontwikkelen die consistente berichtgeving waarborgen en tegelijkertijd voldoen aan openbaarmakingsverplichtingen.

Conclusie

DORA Artikel 28 betekent een substantiële verschuiving in hoe financiële instellingen derdepartij-ICT-relaties moeten benaderen: van reactief contractbeheer naar proactieve, architectonisch ingebedde exitgereedheid. Voor Britse banken die onder de reikwijdte vallen, hetzij door EU-activiteiten, ICT-diensten aan EU-bedrijven of door afstemming op vergelijkbare FCA- en PRA-kaders, zijn de operationele en compliance-eisen aanzienlijk.

Het voldoen aan deze vereisten vraagt meer dan alleen geüpdatete leverancierscontracten. Banken moeten aantonen dat dataportabiliteit, servicecontinuïteit, audittrail-behoud en integriteit van regulatoire documentatie gedurende leveranciersovergangen behouden blijven, ook onder toezicht. Instellingen die exitplanning als een activiteit na afloop behandelen, lopen zowel operationeel als regulatoir risico.

Het opbouwen van verdedigbare exitstrategieën vereist dat exitgereedheid vanaf het begin wordt ingebed in het derdepartijbeheer, ondersteund door technische architecturen die beveiliging en compliancecontrole behouden, ongeacht welke leverancier de onderliggende dienst levert. Instellingen die hier nu op inspelen, zijn beter gepositioneerd voor zowel regulatoire toetsing als de commerciële wendbaarheid die effectief derdepartijenrisicobeheer mogelijk maakt.

Bescherming van gevoelige gegevens tijdens leveranciersovergangen

Traditionele exitplanning richt zich vaak op contractuele en operationele overwegingen en verwaarloost het cruciale belang van het behouden van gegevensbeveiliging en naleving van regelgeving tijdens leveranciersovergangen. Banken hebben architectonische benaderingen nodig die beveiligingscontroles en audittrail-behoud in elk aspect van derdepartijenrisicobeheer inbedden.

Het Kiteworks Private Data Network stelt banken in staat om volledige controle te behouden over gevoelige gegevens tijdens leveranciersovergangen door een zero trust-architectuur te bieden die informatie beveiligt, ongeacht de onderliggende dienstverlener. Deze aanpak zorgt ervoor dat exitstrategieën kunnen worden uitgevoerd zonder dataprivacy of vereisten voor regulatoire documentatie in gevaar te brengen.

Kiteworks levert onvervalsbare audittrails die het bewijs van naleving van regelgeving behouden tijdens leverancierswissels, waardoor banken continue naleving van DORA-vereisten kunnen aantonen gedurende overgangsperiodes. De data-bewuste controles van het platform zorgen ervoor dat gevoelige informatie beschermd blijft, terwijl ze voldoen aan de vereisten voor dataportabiliteit en migratie die effectieve exitstrategieën vereisen. Het platform is gevalideerd volgens FIPS 140-3-standaarden, gebruikt TLS 1.3 voor gegevens in transit en is FedRAMP High-ready — waardoor banken kunnen voldoen aan de meest veeleisende technische beveiligingsnormen die onder DORA en bredere compliance-verplichtingen in de financiële sector worden vereist.

Integratie met bestaande SIEM-, SOAR- en ITSM-workflows stelt banken in staat om operationeel inzicht en risicobeheer te behouden tijdens leveranciersovergangen. Deze integratie zorgt ervoor dat beveiligingsmonitoring en compliance-rapportage ononderbroken doorgaan, terwijl de documentatie en het bewijstraject worden geleverd die toezichthouders verwachten bij wijzigingen in derdepartijrelaties.

Wilt u ontdekken hoe Kiteworks uw instelling kan helpen bij het opzetten van DORA-conforme leveranciersovergangskaders die beveiliging, compliance en operationele continuïteit behouden tijdens kritieke wijzigingen in derdepartijrelaties, plan dan een aangepaste demo.

Veelgestelde vragen

DORA Artikel 28 verplicht financiële instellingen om volledige exitstrategieën te onderhouden voor alle kritieke ICT-derdepartijdiensten, inclusief gedetailleerde plannen voor dataportabiliteit, maatregelen voor servicecontinuïteit en behoud van naleving van regelgeving.

DORA is direct van toepassing op Britse banken met EU-vestigingen, dochterondernemingen of die kritieke ICT-diensten leveren aan EU-instellingen. Voor uitsluitend Britse bedrijven zijn de FCA- en PRA-kaders afgestemd op DORA-principes via regels voor operationele weerbaarheid zoals SS2/21 en PS6/21.

Effectieve strategieën vereisen volledige dataclassificatie, identificatie van alternatieve dienstverleners, gestandaardiseerde datamigratieformaten die audittrails behouden en voortdurende tests om te waarborgen dat regulatoire documentatie en servicecontinuïteit intact blijven.

Banken moeten volledige audittrails, compliance-mapping en risicobeoordelingen behouden gedurende overgangen, zodat deze records toegankelijk en juridisch verdedigbaar blijven en continue naleving van regelgeving aan toezichthouders wordt aangetoond.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks