DORA

De vragen die je gratis krijgt.

Je grootste klant stelt opeens vragen over je cybersecurity. Geen bureaucratie — een wake-up call. En de enige die je gratis krijgt.

Een autobedrijf doet wat het altijd doet: overnames van kleinere garages, integratie van werkplaatsen, de operatie draaiende houden. De winst zit in volume. De zorgen zitten in personeel en planning.

Dan komt er een mail van hun grootste klant — een lease-maatschappij. Vragenlijst over cybersecurity. Bewijs van back-ups, beleidsdocumenten, incidentprocedure. Pagina’s vol. “Graag binnen 30 dagen retour.”

De directeur leest het. Sluit de mail. Schrijft een reactie van twee zinnen: “We zijn nu druk met integraties. We komen erop terug.” En gaat door met de operatie.

Wat hier feitelijk gebeurde

De lease-maatschappij stelde geen vragen omdat ze argwanend was. Ze stelde vragen omdat ze móest. De Digital Operational Resilience Act — DORA — trad in januari 2023 in werking, maar wordt sinds 17 januari 2025 daadwerkelijk toegepast en gehandhaafd. Die wet verplicht financiële entiteiten om de digitale veerkracht van hun ICT-leveranciers en sub-leveranciers te kunnen aantonen.

Voor een lease-maatschappij betekent dat: als wij onze auto’s bij dit autobedrijf kopen of onderhouden, en dat bedrijf gaat ICT-matig plat, dan kunnen wij ook niet aan onze verplichtingen voldoen. DORA dwingt ze om dat zicht op te bouwen — vóór een toezichthouder erom vraagt. En dus krijgen toeleveranciers vragen.

Dit is geen bureaucratie. Dit is een gratis audit.

Een toezichthouder die langs komt is duur. Een datalek dat aan het licht komt is duurder. Een klant die uit een raamcontract stapt omdat hij jou niet aantoonbaar onder controle krijgt kan je bakken met geld kosten.

De vragenlijst van je grootste klant is een eerste check op precies die punten — maar zonder boete, zonder reputatieschade, zonder krantenartikel. Wie “we komen erop terug” schrijft, krijgt geen rust. Hij krijgt uitstel. En dat uitstel kost geld zonder dat hij het ziet.

De drie reacties op zo’n vragenlijst

  1. Beantwoorden zoals het bedoeld is. Iemand in jouw organisatie krijgt het op zijn bureau, neemt het serieus, vraagt waar de antwoorden ontbreken, gaat het regelen. Het werk is reëel, maar het is een investering in toekomstige contracten.
  2. Beantwoorden met wat je hebt, plus een eerlijk plan. “Hier staat dit, daar zijn we mee bezig, dit gaan we in Q3 in gang zetten.” Een grote klant accepteert dat. En zo verberg je niets.
  3. Uitstellen. Goed bedoeld, slecht voor je continuïteit. Want de volgende grote klant — vooral als die ook financieel is — gaat dezelfde vragen stellen. En de volgende. En op een dag staat een belangrijke verlenging op het spel.

De derde reactie wordt het vaakst gekozen — en is de duurste.

Wat dit voor jou betekent

Als jij toeleverancier bent van een lease-maatschappij, een bank, een verzekeraar of een fintech-partij: je krijgt deze vragenlijsten. Ze komen vaker, en ze worden gedetailleerder.

Behandel ze niet als bureaucratie van een klant die je tijd kost. Behandel ze als een audit van een specialist die je geen rekening stuurt. Want dat is het.

De wake-up calls die je gratis krijgt zijn vrijwel altijd de laatste die je krijgt voordat het je geld kost.

Verstuur die vragenlijst niet pas terug na de tweede herinnering. Behandel hem alsof er een toezichthouder achter zit. Want over een paar jaar zit die er ook.

Benieuwd of je aantoonbaar in control bent?

Doe de gratis Bestuurlijke Risico-Quickscan: in 45 minuten weet je waar je staat — met een Risico-Foto van één pagina.

Plan je quickscan