Twee maanden #TROTS. En toen begonnen de DORA-vragenlijsten.
O4Y-ALERT REALITY CHECK — Let op: dit is geen test. Twee maanden geleden hingen we het ISO 27001 certificaat aan de muur. Nou ja… gelijmd, want trots. Of dat dachten we — tot iemand met een spijker langskwam. We dachten: zo, klaar. Klanten blij. Wij blij.
En toen kwam de eerste DORA-vragenlijst binnen.
De eerste vragenlijst
Een klant waar we al jaren mee werken — een verzekeraar uit het Noord-Hollandse — stuurde ons een Excel met ruim 40 vragen. Geen verwijt. Geen dreigende toon. Gewoon: “Richard, DORA Art. 28 zegt dat we onze kritieke ICT-leveranciers periodiek moeten controleren. Jullie staan op de lijst. Vul je 'm in?”
Ik moet zeggen: ik glimlachte. Niet omdat ik vragenlijsten zo leuk vind (spoiler: dat is niet zo). Maar omdat ik wist wat ons te wachten stond. Of beter: wat ons niét te wachten stond.
Binnen één werkdag: ingevuld, onderbouwd, teruggestuurd. Met verwijzingen naar onze ISMS-documentatie, controlematrix en de twee certificeringen die we in april behaalden. Dat was de stille winst van die 6 maanden zwoegen waar ik in april over schreef.
Maar er waren ook drie vragen die NIET zomaar in ISO 27001 stonden. En daar wordt het interessant.
Even resetten: DORA, NIS2 en ISO 27001 ontvlochten
Voordat ik in de inhoud duik: even snel het overzicht, voor wie het mistige veld van afkortingen tijdelijk kwijt was.
DORA
Verplicht- Type
- EU-verordening
- Wie?
- Financiële entiteiten + hun kritieke ICT-leveranciers
- In werking
- 17 januari 2025
- Output4You?
- Niet rechtstreeks — wél indirect via Art. 28
- O4Y-klanten
- Vrijwel allemaal DORA-plichtig
NIS2
Verplicht- Type
- EU-richtlijn → NL-wet (Cyberbeveiligingswet)
- Wie?
- "Essentiële" en "belangrijke" entiteiten
- In werking
- Nederland: vertraagd, verwacht 2026/2027
- Output4You?
- NIS2 Substantial gecertificeerd, vooruitlopend
- O4Y-klanten
- Veel ook NIS2-plichtig
ISO 27001
Vrijwillig- Type
- Internationale norm
- Wie?
- Iedereen die wil bewijzen 'in control' te zijn
- In werking
- Bestaat al sinds 2005
- Output4You?
- Gecertificeerd, april 2026
- O4Y-klanten
- Vragen er steeds vaker om
Kort samengevat: Output4You is geen bank, geen verzekeraar, geen pensioenfonds. Wij vallen niet rechtstreeks onder DORA. Maar wij leveren wel de output-management platforms waarmee onze klanten hun polissen, UPO's, schadebrieven en pensioenstaten produceren. Dat maakt ons "kritieke ICT-leverancier" in DORA-jargon. En dat betekent: leveranciersdue diligence. Elk kwartaal, elk jaar, bij elke contractverlenging.
De anatomie van zo'n vragenlijst
De vragenlijst die we kregen, was netjes opgebouwd in 6 blokken:
- Toegangsbeheer en authenticatie — wie kan bij wat?
- Incidentmanagement — hoe melden jullie iets binnen 24u (DORA Art. 19)?
- Business continuity en disaster recovery — RTO/RPO per klant-flow?
- Sub-leveranciers en concentratierisico — wie zit er onder jullie?
- Audit, monitoring en reporting — wat houden jullie bij, hoe lang?
- Contractuele afspraken — DORA Art. 30 clausules.
Voor wie nog nooit zo'n vragenlijst heeft gezien: het is een mix van "ja/nee, onderbouw met bewijs" en open vragen. Per blok zo'n 6 tot 8 vragen. Onderbouwing kan via beleidsdocumenten, screenshots van controles, certificaten of audit-rapportages.
Voor wie er al wel veel heeft ingevuld: u herkent het patroon. En u herkent waarschijnlijk ook de vermoeidheid die ontstaat als je dezelfde lijst voor de vierde klant in een kwartaal moet invullen — maar in een net iets ander format.
De 7 vragen die we het vaakst kregen
Inmiddels hebben we van meerdere klanten variaties op dezelfde lijst gekregen. Sommige strakker, sommige losser. Maar deze 7 vragen kwamen vrijwel altijd terug:
- "Wat zijn jullie RTO en RPO voor onze document-flows?"
- "Hoe melden jullie incidenten binnen 24 uur conform DORA Art. 19?"
- "Maken jullie gebruik van sub-leveranciers? Hoe controleren jullie hen?"
- "Welke certificeringen onderbouwen jullie informatiebeveiligingsbeleid?"
- "Wat is jullie procedure bij een leveranciersexit (DORA Art. 28 lid 7)?"
- "Hoe garanderen jullie data-soevereiniteit (EU/EER)?"
- "Welke pentest- en kwetsbaarheidsscan-frequentie hanteren jullie?"
Stuk voor stuk legitiem. Stuk voor stuk beantwoordbaar als je je ISMS op orde hebt. En precies dat ISMS — Information Security Management System — is de kern van ISO 27001. Niet toevallig.
Wat ISO 27001 al voor je oplost (de 80%-claim)
Hier is de mapping die ik graag had gezien toen ik in december 2025 begon met ons certificeringstraject. Voor elk van de 7 vragen hierboven: welke ISO 27001 Annex A control het antwoord vormt.
| Vraag | ISO 27001 Annex A control(s) |
|---|---|
| 1. RTO/RPO | A.5.29, A.5.30 (Bedrijfscontinuïteit), A.8.13, A.8.14 (Redundantie) |
| 2. Incidentmelding 24u | A.5.24, A.5.25, A.5.26, A.5.27 (Incidentbeheer) |
| 3. Sub-leveranciers | A.5.19, A.5.20, A.5.21, A.5.22 (Leveranciersrelaties) |
| 4. Onderbouwde certificeringen | Het hele Statement of Applicability (SoA) |
| 5. Leveranciersexit | A.5.22 (Toezicht en review van leveranciersdiensten) |
| 6. Data-soevereiniteit | A.5.14 (Informatieoverdracht), A.5.34 (Privacy en PII) |
| 7. Pentest-frequentie | A.8.8 (Beheer van technische kwetsbaarheden), A.5.36 |
Resultaat: 7 op 7 vragen rechtstreeks beantwoordbaar vanuit je ISO 27001 documentatie, mits goed onderhouden. Niet door wat creatief copy-paste werk te doen — door de documentatie die je sowieso al moest hebben.
Dát is de 80%-claim. ISO 27001 dekt het overgrote deel van wat DORA en NIS2 van leveranciers vragen. Niet omdat de normen identiek zijn — maar omdat ze allemaal gebaseerd zijn op dezelfde set best practices rond risicobeheer, governance en operationele controle.
Wat ISO 27001 NIET oplost (en wat we daarbovenop deden)
Tijd voor eerlijkheid. ISO 27001 is geen toverstaf. Er zijn drie dingen die DORA expliciet eist en die je niet automatisch krijgt door alleen het certificaat te halen.
1. Threat-Led Penetration Testing (TLPT) — DORA Art. 26
DORA verplicht systemic financial entities tot TLPT: realistische, op specifieke dreigingen toegesneden pentests. Veel verder dan een standaard kwetsbaarheidsscan. Als kritieke ICT-leverancier doe je hier mee als de klant erom vraagt. Wij hebben hier afspraken over in onze leverancierscontracten en faciliteren dit jaarlijks. Standaard ISO 27001 vereist een pentest, maar zegt niet expliciet "threat-led".
2. Concentratierisico-rapportage — DORA Art. 29
DORA wil dat financiële entiteiten weten of teveel van hun leveranciers afhankelijk zijn van dezelfde sub-leverancier (denk: één hyperscaler, één CDN-provider, één specifieke open-source maintainer). Wij rapporteren onze sub-leveranciers proactief inclusief geografische spreiding, zodat onze klanten dit kunnen meenemen in hun eigen concentratierisico-analyse. ISO vereist wel dat je je leveranciers in beeld hebt, maar legt geen verplichting op om concentraties zichtbaar te maken voor je klant.
3. Specifieke contractclausules — DORA Art. 30
DORA schrijft expliciete contractuele bepalingen voor: audit-rechten, exit-rechten, sub-leverancier-clausules, data-locatie, SLA's op specifieke prestaties, etc. Sinds april 2025 hebben we onze raamcontracten herzien zodat deze clausules standaard onderdeel zijn. ISO vraagt om "contractuele afspraken met leveranciers" maar gaat niet zo specifiek.
Met andere woorden: ISO 27001 + NIS2 Substantial brengt je naar 80%. De laatste 20% is gericht DORA-werk, en dat is goed te doen als je het structureel aanpakt in plaats van per klant te improviseren.
Voor andere SaaS- en output-leveranciers: begin hier
Een paar tips voor mede-leveranciers die nog midden in deze beweging zitten:
- Bereid je voor op de vragenlijst vóórdat hij komt. Maak een "leveranciers-info pack" als PDF: ISMS-samenvatting, certificeringen, sub-leveranciers, RTO/RPO. Negen van de tien vragen zitten er dan al in.
- Behaal ISO 27001 vóór NIS2. Daarmee dek je circa 80% van NIS2-vereisten ook af. Andersom werkt minder goed.
- Documenteer je sub-leveranciers proactief. Dit komt áltijd terug. Naam, dienst, geografie, certificering, exit-procedure. Houd het in een levend document.
- Tracker je vragenlijsten. Bouw een eigen Q&A-bibliotheek op. Versie 1 kost je een week. Versie 47 vul je in een uur in.
- Maak je accountmanagers er medeverantwoordelijk voor. Vragenlijsten zijn deel van het commerciële proces geworden, niet alleen security-werk.
Tot slot — en een muur-update
Twee maanden, ruim 40 vragen, één werkdag invullen.
Dat is de ROI van ISO 27001 + NIS2 Substantial die je niet ziet op de factuur, maar wel als je 's avonds normaal kunt eten.
Oh — en de muur? Het certificaat hangt er nog steeds. Netjes gespijkerd. We hebben de verhuizing gepland voor 2027, dus we zien wel.
Dit was een O4Y-Alert Reality Check. U kunt uw normale LinkedIn-scrol hervatten.
#DORA #ISO27001 #NIS2 #Informatiebeveiliging #Leveranciersaudit #OutputManagement #Verzekeringen #Pensioenfondsen #Output4You