Cloud-native banking zit in 2026 in de DORA-auditfase. Verordening (EU) 2022/2554 ⧉ is sinds 17 januari 2025 van kracht. Het aanwijzingsregime voor kritieke derde aanbieders (CTPP) onder Artikelen 28-44 wordt in 2025-2026 geopend, met AWS, Microsoft (Azure), Google (GCP) en Salesforce binnen of dicht tegen de aanwijzingsperimeter. De Europese toezichthoudende autoriteiten (EBA, EIOPA, ESMA) publiceerden in 2024 de definitieve RTS en ITS over het Informatieregister ⧉. Het team van ECB Banking Supervision heeft expliciete programma's voor paraatheid bij cloudstoringen en threat-led penetration testing in de toezichtprioriteiten 2026-28 ⧉. De institutionele vraag is niet of de cloudstrategie op DORA moet worden afgestemd — dat is beslist — maar of de platform engineering-primitieven van de instelling bewijs leveren op de snelheid van de deploy-pijplijn, in plaats van in pdf's die de week voor het examen worden samengesteld.
Executive Summary / Belangrijkste punten
- DORA-cloudveerkracht wordt sinds 17 januari 2025 actief gehandhaafd. Artikelen 6, 8, 18, 26 en 28-44 alle van kracht. Toezichtbevindingen uit de eerste examengolf landden in Q4 2025. De "voorbereidings"-framing loopt twee cycli achter.
- CTPP-aanwijzingsregime gaat open. AWS, Microsoft, Google, Salesforce — binnen of dichtbij. Aanwijzing geeft de ESA's directe oversight-rechten waaronder informatieverzoeken, inspecties ter plaatse en toezichtaanbevelingen.
- Platform engineering is het deliverable. Kubernetes-asfaltwegen (EKS / AKS / GKE / OpenShift), Backstage-stijl developer-portaal, GitOps (ArgoCD of Flux), Open Policy Agent bij admissie, end-to-end OpenTelemetry. Vijf benoemde primitieven; alles wat ontbreekt is een bevinding.
- Soevereine cloud is engineering, geen branding. AWS European Sovereign Cloud, Microsoft EU Data Boundary, Bleu (Capgemini + Orange + Microsoft), Thales / S3NS, Oracle EU Sovereign Cloud — elk dekt een specifieke Schrems II + DORA Artikel 28-dimensie; geen daarvan is een kant-en-klaar antwoord.
- Getest exit-bewijs vereist. EBA/GL/2019/02-paragrafen 81 en 113-117. Kwartaaltabletop volstaat niet; toezichthouders verwachten jaarlijkse end-to-end exit-uitvoeringstests voor elke kritieke of belangrijke functie.
- RTO/RPO uit de CIF-inventaris. Tier 1: 2u/15min. Tier 2: 4u/1u. Tier 3: 24u/4u. Afgeleid uit de bedrijfsimpactanalyse, niet uit de capaciteit van het platformteam.
Waarom DORA-Cloudveerkracht in de Auditfase Zit #
Drie redenen waarom de "voorbereidings"-framing in 2026 niet meer klopt.
Ten eerste, de tijdlijn. DORA werd in december 2022 gepubliceerd. De 24-maands toepassingsperiode sloot op 17 januari 2025. De definitieve RTS en ITS van de ESA's — inclusief de ITS over het Informatieregister dat voor CTPP-aanwijzing wordt gebruikt — werden in 2024 gepubliceerd. De eerste golf toezichtexamens liep door heel 2025; bevindingen over de volledigheid van het ICT-risicobeheerkader (Artikel 6) en de aansluiting van het register (Artikel 8) landden in Q4 2025 bij meerdere Tier-1-instellingen.
Ten tweede, het CTPP-aanwijzingsregime. Artikel 31 stelt de criteria vast voor aanwijzing als kritieke derde aanbieder: systemische impact bij uitval, kriticiteit van de geleverde diensten, schaal en complexiteit van de diensten, substitueerbaarheid. De ESA's beheren het register en publiceren aanwijzingsbesluiten. AWS, Microsoft (Azure), Google (GCP) en Salesforce zitten binnen of dicht tegen de aanwijzingsperimeter aan, afhankelijk van het marktaandeel in financiële diensten per lidstaat. Aanwijzing geeft de hoofdtoezichthouder (één van de ESA's, per aanbieder toegewezen) directe oversight-bevoegdheid: informatieverzoeken onder Artikel 37, inspecties ter plaatse onder Artikel 38, aanbevelingen onder Artikel 35 en het openbaarmakingsregime onder Artikel 41. De banken die boven die CTPP's worden bevoogd, zijn onderworpen aan bijbehorende toezichtsverwachtingen over hoe zij die aangewezen afhankelijkheid beheren.
Ten derde, de toezichtprioriteiten 2026-28 van de ECB. Het prioriteitendocument noemt twee expliciete programma's die cloud-native banking rechtstreeks raken: paraatheid voor een grote cloudstoring (gemodelleerde toezichtsscenario's testen het vermogen van de instelling om een langdurige uitval van een aangewezen CTPP op te vangen) en TIBER-EU-uitgelijnde TLPT (elke TIBER-EU-oefening scoopt de kritieke en belangrijke functies van de instelling, waar nu ook publieke-cloud-gehoste diensten onder vallen). De examengolf van 2026 zal op beide bevindingen opleveren.
De framing voor 2026 is niet "DORA komt eraan"; het is "DORA-examenbevindingen vallen op de mat bij uw instelling, en de platform engineering-keuzes die u in 2024-2025 maakte zijn precies wat de toezichthouder in die bevindingen onderzoekt."
De Architectuur van de Index 2026 #
| Indexlaag | Hoe "Klaar" Eruitziet | Gereedheidsmaatstaf | Faalmodus |
|---|---|---|---|
| Platformvolwassenheid | >80% van de werklasten op een asfaltweg-Kubernetes-platform (EKS / AKS / GKE / OpenShift) met policy-as-code-admissie, GitOps-deploy, geautomatiseerde DR-tests | % CIF's op asfaltweg-platform; aantal schaduw-deploys; gemiddelde onboarding-tijd voor een nieuwe dienst op het platform | Schaduwplatforms met inconsistente controls; CIF's draaiend op niet-asfaltweg-infrastructuur die onzichtbaar is voor de Article 8-registerreconciliatie |
| Integriteit Article 8-register | Het Informatieregister sluit automatisch aan op de derden-API-consumptie van het platform + cloud-bill-of-materials; kriticiteitsclassificatie consistent met de CIF-inventaris van de instelling | % registerregels gereconcilieerd met platformtelemetrie; aantal weesregels; integriteitscheck CTPP-perimeter | ESA's identificeren een aangewezen CTPP-afhankelijkheid die de instelling onder Artikel 8 niet heeft gemeld; individuele bevinding én CTPP-perimeterconsequentie |
| Cloudconcentratie | Kritieke functies in kaart gebracht naar cloudaanbieders ÉN subregio's ÉN diensten ÉN substitueerbaarheidsbeoordeling; gecorreleerde blootstelling tussen CIF's gekwantificeerd | Concentratiescore per CIF; gecorreleerde blootstelling tussen CIF's die dezelfde aangewezen CTPP-regio delen | Eén AWS us-east-1 IAM-storing legt vier CIF's plat die de instelling onafhankelijk gedimensioneerd dacht te hebben |
| Geteste exit-capaciteit | Jaarlijkse end-to-end exit-uitvoeringstest voor elke CIF die afhankelijk is van een aangewezen CTPP; gedocumenteerde RTO/RPO haalt BIA-afgeleide doelen; data-portabiliteitspad getest | Slagingspercentage per CIF; gemiddelde exit-uitvoeringstijd t.o.v. RTO-doel; latentie data-portabiliteitspad | Exit-plan dat alleen als pdf bestaat; tabletop zegt 4u RTO, echte test toont 48u bij eerste poging |
| Observability + incidentmelding | OpenTelemetry-traces end-to-end over alle diensten; geautomatiseerde 4-uurs-classificatiehelper voor Artikel 18 vastgekoppeld aan het incidentmanagementplatform | % CIF-verkeer gedekt door OTel-traces; gemiddelde tijd van incidentdetectie tot Artikel 18-classificatiebesluit | Een groot incident wordt buiten het 4-uursvenster geclassificeerd omdat de kriticiteitsbepaling een triage-meeting vereiste; Artikel 18-bevinding |
| TLPT-integratie | TLPT-scope afgeleid uit de CIF-inventaris en doorlopend ververst; bevindingen sluizen terug naar platform policy-as-code; gesloten bevindingen leveren toezichtsklare bewijspakketten | Sluitingsratio TLPT-bevindingen; doorlooptijd van bevinding naar beleidswijziging | TLPT ontdekt een kwetsbaarheid die het platform engineering-team in minder dan twee releasecycli niet kan oplossen |
Huidige Signalen om te Volgen #
| Signaal | Wat het Betekent voor Banken | Bron |
|---|---|---|
| DORA actief gehandhaafd sinds 17 jan 2025 | Eerste-golf toezichtbevindingen landden Q4 2025; tweede golf verwacht in 2026 H2 | EUR-Lex ⧉ |
| CTPP-aanwijzing open door 2025-2026 | AWS, Microsoft, Google, Salesforce binnen of dicht tegen de perimeter; aanwijzing geeft ESA's directe oversight-rechten | EBA ⧉ |
| Toezichtprioriteiten ECB 2026-28 noemen cloudstoring expliciet | Gemodelleerde toezichtsscenario's testen vermogen om langdurige uitval aangewezen CTPP op te vangen | ECB Banking Supervision ⧉ |
| TIBER-EU uitgelijnd op DORA Artikel 26 | TLPT-scope omvat kritieke/belangrijke functies inclusief cloud-gehoste diensten | ECB TIBER-EU ⧉ |
| EBA-uitbestedingsrichtsnoeren (EBA/GL/2019/02) grijpen in op DORA Artikel 28 | Substantiële aanwezigheid (¶64), substitueerbaarheidsbeoordeling (¶81), exitstrategie (¶113-117) — de paragrafen die toezichthouders echt toetsen | EBA ⧉ |
| EU Cloud Services Scheme (EUCS) ontwerp vordert | Toekomstige soevereine-cloud-certificering onder de EU-cyberbeveiligingswet; door ENISA gepubliceerd ontwerp | ENISA EUCS ⧉ |
Platform Engineering: De Vijf Benoemde Primitieven #
Cloud-native volwassenheid in 2026 valt terug op vijf engineering-primitieven die in elkaar grijpen om toezichtsbewijs op pijplijnsnelheid te produceren. Eén ontbrekende is een bevinding-in-wording.
1. Kubernetes-Asfaltwegen #
Elke CIF draait op een managed Kubernetes-platform — EKS, AKS, GKE of OpenShift op een aangewezen CTPP, of een door een leverancier beheerd alternatief. Het platformteam beheert één golden-cluster-patroon met gecontroleerde afwijking: nodes vanuit een gedocumenteerd basis-image; namespace-per-team-isolatie; pod-security-standards-restricted-profiel; netwerkpolicies; service-mesh-injectie (Istio of Linkerd) voor authenticatie en observability tussen diensten. Nieuwe diensten stappen op de asfaltweg via een sjabloon-onboardingproces dat de Article 8-registerregel als deploy-artefact oplevert.
2. Backstage-Stijl Developer-Portaal #
Een centraal developer-portaal — de open-source Backstage ⧉ van Spotify is de referentie-implementatie, met diverse enterprise-alternatieven — vormt het system-of-record voor wat waar draait. De catalogus toont elke dienst, eigenaar, afhankelijkheid, kriticiteitsclassificatie, runbook, on-call-rooster. Het portaal grijpt in op het Article 8-register: elke catalogusregel mapt naar een registerregel; regels zonder registerreferentie laten CI falen; registerregels zonder catalogusvermelding triggeren toezichthouder-voor-zijnde alerts.
3. GitOps-Deploy via ArgoCD of Flux #
Productie-deploy loopt via een GitOps-controller — ArgoCD of Flux is in 2026 de productiestandaard — die een Git-versioneerde declaratieve staat reconcilieert met het draaiende cluster. Handmatige kubectl apply is uitgezet; de enige weg naar productie is een gemergede pull request. De Git-repository is het auditspoor; toezichthouders die vragen "laat me de configuratie zien van dienst X op datum Y" krijgen een Git-tag, geen screenshot.
4. Open Policy Agent bij Admissie #
Open Policy Agent (OPA) zit in de admissieketen van het cluster en handhaaft platformbeleid: pod-security-profielnaleving, image-herkomst, resource-limieten, aanwezigheid van netwerkpolicies, replicatie passend bij de kriticiteitsklasse, subregio-plaatsing onder soevereine-cloud-restricties. Policies zijn Git-versioneerd en lopen mee in change-management met de dienstconfiguraties. Geweigerde deploys leveren herleesbare onderbouwingen die het change-management-bewijspakket voeden.
5. End-to-End OpenTelemetry #
Elke dienst zendt OpenTelemetry-traces, -metrics en -logs. Het platformteam beheert een centrale observability-pijplijn — doorgaans Tempo of Jaeger voor traces, Prometheus voor metrics, Loki of OpenSearch voor logs — die end-to-end CIF-gezondheid, dependency-mapping en input voor incidentclassificatie naar voren brengt. Het 4-uursvenster voor Artikel 18-classificatie start bij detectie; de OTel-pijplijn verkort het pad van detectie naar classificatie tot een queryable lookup, geen triage-meeting.
Soevereine Cloud als Engineering, Niet als Branding #
Soevereine-cloud-strategie moet in 2026 vier specifieke Schrems II + DORA + EBA-uitbestedingsvragen beantwoorden:
- Waar wordt de data verwerkt en opgeslagen? Locatie in EU-lidstaat; subregio voor stromen met hoge kriticiteit; data-residency-afspraken op schrift.
- Wie heeft juridische toegang tot de data? Operaties uitsluitend door lokale medewerkers; verzoeken om toegang van buitenlandse overheden onderworpen aan lokale rechterlijke procedure; geteste respons op rechtmatige-toegangsverzoeken.
- Wat is het substitueerbaarheidsprofiel? Substitueerbaarheidsbeoordeling onder EBA/GL/2019/02 ¶81; geteste exit-uitvoering; alternatieve aanbieder geïdentificeerd en gecontracteerd (of gedocumenteerd waarom niet haalbaar).
- Wat is het technisch soevereiniteitsmodel? Door klant beheerde sleutels; cryptografische scheiding; soeverein managementvlak; auditbare leveringsketen.
De leveranciersopties van 2026 die deze vragen adresseren:
- AWS European Sovereign Cloud (aangekondigd 2023, GA verwacht H2 2026): fysieke regio bediend door een in de EU gevestigde AWS-dochter; EU-gevestigde operaties en support; door klant beheerde sleutels via KMS-XKS-patroon. DORA Artikel 28-contractinhoud nog uit te lijnen in 2026.
- Microsoft EU Data Boundary (GA 2024) + Bleu (Capgemini + Orange + Microsoft, alleen Frankrijk): Data Boundary houdt EU-klantdata in EU-regio's; Bleu is de SecNumCloud-uitgelijnde Franse soevereine cloud die de Microsoft Azure-stack onder Franse operationele controle draait.
- Soevereine partnerschappen Google Cloud: Thales / S3NS in Frankrijk (Bleu-equivalent); T-Systems in Duitsland.
- Oracle EU Sovereign Cloud (GA 2023): dual-regiopatroon (Frankfurt + Madrid) met EU-gevestigde operaties; schoon Schrems II-conform.
- Gaia-X-uitgelijnde aanbieders (OVHcloud, Scaleway, Stackit, Aruba Cloud, IONOS): native-EU-aanbieders met Gaia-X-etiket; kleinere schaal en kleiner ecosysteem dan hyperscalers, maar geen blootstelling aan de Foreign Intelligence Surveillance Act.
De strategische keuze is zelden binair. Tier-1-banken draaien doorgaans een hyperscaler-met-Data-Boundary-configuratie voor het gros van de werklasten, een soevereine-cloud-optie voor aangewezen stromen met hoge gevoeligheid (bijv. AML/sanctie-zaaksbeheer met EU-persoonsgegevens), en een contingency-substitueerbaarheidspad dat jaarlijks onder DORA Artikel 28 wordt getest.
Geteste Exit-Uitvoering #
Paragrafen 113-117 van EBA/GL/2019/02 ⧉ zijn de exit-strategiebepalingen. De tekst is expliciet over wat vereist is: "Instellingen en betaalinstellingen moeten ervoor zorgen dat zij uitbestedingsovereenkomsten kunnen beëindigen zonder onnodige verstoring van hun bedrijfsactiviteiten… De exitstrategieën moeten ook worden gedocumenteerd en getest als onderdeel van de reguliere beoordelingen van de uitbestedingsovereenkomsten."
De toezichtsverwachting in 2026 is jaarlijkse end-to-end exit-uitvoeringstests voor elke CIF die afhankelijk is van een aangewezen CTPP. Tabletop-oefeningen en documentreviews volstaan niet. De test moet opleveren:
- Time-to-restore-meting: werkelijke verstreken tijd vanaf de exit-verklaring tot werklastherstel bij de alternatieve aanbieder, afgezet tegen het BIA-afgeleide RTO-doel.
- Data-portabiliteitsbewijs: geteste data-export vanuit de primaire aanbieder, gevalideerd tegen het importpad van de bestemmingsaanbieder, met reconciliatiebewijs.
- Functionele equivalentie: geteste werklast bij de alternatieve aanbieder met gelijkwaardige SLO's.
- Kostenbewijs: gedocumenteerde exit-uitvoeringskosten t.o.v. de aanname over herstelkosten in de contingency-planning van de instelling.
De eerste poging tot end-to-end exit-tests voor een CIF onthult doorgaans een gat van 5-10× tussen de gedocumenteerde RTO en de werkelijke RTO. Dat gat dichten is engineeringwerk dat maanden duurt. Banken die dit ontdekken tijdens een toezichtinspectie in plaats van tijdens hun eigen jaarlijkse testcyclus, krijgen een Q3-bevindingencyclus voor de kiezen die ze hadden kunnen vermijden.
RTO/RPO-Doelen uit de CIF-Inventaris #
Elke kritieke of belangrijke functie wordt geclassificeerd in een tier die uit de bedrijfsimpactanalyse van de instelling volgt. De tier stuurt de RTO- en RPO-doelen aan die het platform engineering-team moet leveren.
| Tier | Voorbeelden | RTO | RPO |
|---|---|---|---|
| Tier 1 (missiekritiek) | RTGS-connectiviteit (CHAPS / T2 / Fedwire), autorisatie retailbetalingen, klantauthenticatie voor digitale kanalen | 2 uur | 15 minuten |
| Tier 2 (kritiek) | AML/sanctie-screening, fraudedetectiepijplijnen, ATM-autorisatie, batchbetalingsverwerking | 4 uur | 1 uur |
| Tier 3 (belangrijk) | Rapportage en regulatoire indiening, klant-georiënteerde kennisbanken, interne samenwerkingsplatformen | 24 uur | 4 uur |
| Tier 4 (niet-kritiek) | Interne HR-systemen, marketingtooling, niet-klantgerichte rapportage | 72 uur | 24 uur |
Deze cijfers zijn illustratief — de BIA van de instelling produceert haar eigen. Het platform engineering-deliverable is een regressie-geteste capaciteit om de BIA-afgeleide doelen te halen, onderbouwd met geautomatiseerde DR-tests per dienst en gevalideerd via de jaarlijkse exit-uitvoeringstest voor CTPP-afhankelijke CIF's.
Wat Dit Betekent per Banktype #
Wereldwijde Systeemrelevante Banken #
Het lastige probleem is schaal over de business lines heen: duizenden diensten, honderden CIF's, meerdere aangewezen-CTPP-blootstellingen over producten, jurisdicties en veerkrachtprofielen. De investering is de centrale platform engineering-capaciteit — Kubernetes-asfaltwegen, Backstage-portaal, GitOps, OPA, OTel — die de Article 8-registerreconciliatie, de CTPP-concentratiekaart en de CIF-per-CIF-exit-uitvoeringscapaciteit oplevert zonder bouw-per-business-line maatwerk.
Universele en Middelgrote Banken #
De platform engineering-investering is op dit niveau te rechtvaardigen, maar de scope is beperkt: kies de twee of drie hoogst-kritieke CIF's, bouw het asfaltweg-patroon daaromheen, accepteer dat het legacy-landschap voor middellange termijn op de bestaande controls blijft. De toezichtsmatige positionering weegt zwaarder dan platform-breedte — DORA Artikel 8-registerintegriteit en geteste exit voor de top drie CIF's kunnen aantonen, dekt de primaire zorgen van de toezichthouder.
Regionale en Kleinere Banken #
Leverancierskeuze in plaats van eigen bouw. Kies een banking-platformleverancier wiens Kubernetes-native architectuur gedocumenteerd is, wiens Article 8-registerintegratie standaard ingebouwd zit en wiens contractuele toezeggingen onder DORA Artikel 28 helder zijn. De interne engineering-capaciteit zit rond configuratie, monitoring en incidentrespons — niet platformbouw.
Fintechs, PSP's en SaaS-Leveranciers die Banken Bedienen #
De productvraag voor leveranciers die in 2026 aan EU-banken verkopen, is of het platform de Article 8-registerregels en DORA Artikel 28-contractinhoud oplevert die de compliancefunctie van de bank nodig heeft. Leveranciers met gestructureerde output winnen enterprise-deals; leveranciers met pdf-sjablonen verliezen aan concurrenten met gestructureerde JSON.
Conclusie #
DORA-cloudveerkracht zit in de auditfase. De platform engineering-keuzes uit 2024-2025 zijn precies wat de toezichtcyclus van 2026 onderzoekt. De instellingen die er in 2026-2028 geloofwaardig uitzien voor de ECB en de EBA, zijn die met Kubernetes-asfaltwegen, Backstage-stijl portalen en GitOps-deploy onder Open Policy Agent-admissie met end-to-end OpenTelemetry — die Article 8-registerbewijs leveren als deploy-artefact en geteste exit-uitvoering als jaarlijkse cyclus, niet als antwoord op een toezichtverzoek.
De instellingen die deze investeringen niet maakten, zullen ontdekken of hun second-line compliance-team de eerste ronde toezichtbevindingen kan opvangen voordat de tweede ronde arriveert.
Meet het platform zoals u elk operationeel programma meet: dekking van de asfaltweg, reconciliatieratio van het register, CTPP-concentratiescore, geteste exit-tijd t.o.v. RTO-doel, gemiddelde Artikel 18-classificatietijd, sluitingsratio TLPT. Bewijs op pijplijnsnelheid; documentatiepakketten alleen wanneer de toezichthouder erom vraagt.
Veelgestelde Vragen #
Zit DORA-cloudveerkracht in 2026 nog in de voorbereidingsfase?
Nee. DORA wordt sinds 17 januari 2025 actief gehandhaafd. Het CTPP-aanwijzingsregime onder Artikelen 28-44 wordt in 2025-2026 geopend. ECB-examenbevindingen over Artikel 6 ICT-risicobeheer en Artikel 8-registerintegriteit landden in Q4 2025 bij meerdere Tier-1-instellingen. De toezichtvraag voor 2026 betreft instellingsspecifiek examenbewijs, niet regelgevende gereedheid.
Welke cloudaanbieders zijn als CTPP aangewezen?
De ESA's publiceren aanwijzingsbesluiten op hun websites. De instellingen binnen of dicht tegen de perimeter in 2026 omvatten AWS, Microsoft (Azure), Google (GCP), Salesforce en een klein aantal andere, afhankelijk van het marktaandeel in financiële diensten per lidstaat. Banken die boven die aanbieders worden bevoogd, hebben bijbehorende toezichtsverwachtingen over hoe zij die afhankelijkheid beheren.
Maakt soevereine cloud de DORA Artikel 28-contractinhoud overbodig?
Nee. Soevereine cloud dekt de Schrems II + data-residency-dimensie; DORA Artikel 28-contractinhoud is een afzonderlijke verplichting die geldt ongeacht waar de data staat. Het contract van de soevereine-cloud-aanbieder moet nog steeds data-toegankelijkheid, beveiliging, residency, auditrechten, exitstrategieën en continuïteit per Artikel 28 dekken.
Wat is het engineering-deliverable dat DORA-cloudveerkracht aantoont?
Vijf in elkaar grijpende platform engineering-primitieven: Kubernetes-asfaltwegen (managed cluster met policy-gecontroleerde afwijking), Backstage-stijl developer-portaal (catalogus die reconcilieert naar Article 8-register), GitOps-deploy (ArgoCD of Flux), Open Policy Agent bij admissie, end-to-end OpenTelemetry. Bewijs op pijplijnsnelheid in plaats van op examenmoment.
Hoe vaak moet exit-uitvoering worden getest?
Jaarlijkse end-to-end exit-uitvoeringstests per CIF die afhankelijk is van een aangewezen CTPP. Tabletop-oefeningen en documentreviews volstaan niet. De test moet time-to-restore, data-portabiliteitsbewijs, functionele equivalentie en kostenbewijs opleveren — afgemeten aan de BIA-afgeleide RTO- en RPO-doelen.
Bronnen #
- Europese Unie, (2022). Verordening (EU) 2022/2554 — Digital Operational Resilience Act (DORA) ⧉.
- European Banking Authority, (2019). EBA/GL/2019/02 — Richtsnoeren over uitbestedingsovereenkomsten ⧉.
- European Banking Authority, (2026). Digital Operational Resilience Act ⧉.
- Europese toezichthoudende autoriteiten, (2024). Eindrapport over de ITS voor het Informatieregister onder DORA ⧉.
- ECB Banking Supervision, (2025). Toezichtprioriteiten 2026-28 ⧉.
- Europese Centrale Bank, (2024). TIBER-EU-raamwerk ⧉.
- ENISA, (2024). EU-cyberbeveiligingsschema voor Cloud Services (EUCS) ⧉.
- Spotify, (2020-2024). Backstage developer-portaal ⧉.
- Cloud Native Computing Foundation, (2018). Open Policy Agent (OPA) ⧉.
- Cloud Native Computing Foundation, (2019). OpenTelemetry ⧉.
Laatst beoordeeld .
Laatst herzien .