Wat betekent een CIF-indicatie, hoe pas je die toe en wat zijn de gevolgen voor inkoop en contractmanagement?

1. Wat is een CIF-indicatie?

Onder de Digital Operational Resilience Act (DORA) moeten financiële instellingen vaststellen welke bedrijfsfuncties kritiek of belangrijk zijn (Critical or Important Functions – CIF’s). Een CIF-indicatie is geen formeel label, maar een beredeneerde vaststelling dat verstoring van een functie:

• een materiële impact heeft op de continuïteit van de instelling;
• risico’s oplevert voor cliënten, markten of financiële stabiliteit;
• of directe aandacht van toezichthouders rechtvaardigt.

De CIF-indicatie vormt daarmee de brug tussen operationele realiteit en toezichtverplichtingen.

Belangrijk:

Een CIF-indicatie is contextafhankelijk, dynamisch en proportioneel — geen statisch vinkje.

2. Wanneer is een functie ‘kritiek of belangrijk’?

DORA schrijft geen uitputtende lijst voor, maar hanteert beoordelingscriteria, waaronder:

• impact op dienstverlening aan klanten;
• financiële en reputatieschade bij uitval;
• mate van vervangbaarheid;
• afhankelijkheid van ICT en externe dienstverleners;
• tijdsduur waarbinnen herstel noodzakelijk is.

Een CIF-indicatie is daarmee altijd het resultaat van een professionele risicoafweging, geen technische classificatie.

3. Voorbeeld: CIF-indicatie bij een financiële instelling

Context (fictief maar realistisch)

Een middelgrote bank levert:

• betalingsverkeer aan particuliere klanten;
• zakelijke rekeningen voor MKB;
• kredietverlening.

De bank maakt gebruik van:

• een core banking platform;
• een cloudgebaseerde betalingsverwerkingsdienst;
• een externe IAM-oplossing.

Stap 1 – Bedrijfsfunctie identificeren

“Verwerken van interbancaire en klantbetalingen”

Stap 2 – Impactanalyse

Uitval leidt tot:

• directe verstoring van primaire dienstverlening;
• mogelijke schending van wettelijke verplichtingen;
• reputatieschade en escalatie richting toezichthouder.

Stap 3 – CIF-indicatie

Deze bedrijfsfunctie wordt aangemerkt als kritiek.

Stap 4 – ICT-afhankelijkheid

De volgende ICT-diensten worden CIF-ondersteunend:

• core banking software;
• cloud payment gateway;
• identity & access management.

Let op:

De ICT-dienst zelf wordt niet automatisch een CIF, maar valt binnen de CIF-context.

4. Praktisch voorbeeld: CIF-indicatie vóór marktconsultatie

Situatie

De bank bereidt een marktconsultatie voor de vervanging van haar cloud payment gateway.

CIF-bewuste aanpak

In plaats van direct eisen te stellen, wordt eerst vastgesteld:

• dat de beoogde oplossing CIF-ondersteunend is;
• dat uitval directe impact heeft op klanten en toezicht;
• dat uitbesteding binnen DORA-scope valt.

Gevolg voor de longlist

De longlist richt zich op:

• aanbieders met ervaring in gereguleerde omgevingen;
• partijen die aantoonbaar resilience-concepten hanteren;
• leveranciers die ketentransparantie kunnen beschrijven.

Zonder:

• harde compliance-eisen;
• auditverplichtingen;
• voorafgaande uitsluiting.

5. Wat betekent een CIF-indicatie voor inkoop?

5.1 Voor de inkoopstrategie

Een CIF-indicatie:

• legitimeert een zorgvuldiger en diepgaander inkooptraject;
• onderbouwt waarom marktconsultatie noodzakelijk is;
• voorkomt dat proportionaliteit later ter discussie staat.

Het is géén rechtvaardiging voor:

• onnodig zware eisen;
• beperking van mededinging;
• vendor-specifieke oplossingen.

5.2 Voor de aanbestedingsdocumenten

Bij CIF-ondersteunende ICT vertaalt de indicatie zich naar:

• expliciete aandacht voor continuïteit en weerbaarheid;
• eisen aan transparantie in ketens;
• duidelijke exit- en substitutieoverwegingen.

Maar pas:

ná marktconsultatie en beleidsbesluit, niet vooraf.

6. Wat betekent een CIF-indicatie voor contractmanagement?

6.1 Contractuele consequenties

Bij CIF-ondersteunende dienstverlening is contractmanagement:

• intensiever;
• risicogedreven;
• multidisciplinair (inkoop, IT, risk, legal).

Typische aandachtspunten:

• incidentmelding en escalatie;
• BCM-afspraken;
• wijzigings- en exit-mechanismen;
• audit- en toegangsrechten (proportioneel).

6.2 Relatie met leveranciers

Een CIF-indicatie vraagt om:

• transparantie over wederzijdse afhankelijkheden;
• duidelijke governance-structuren;
• periodieke herbeoordeling van risico’s.

Niet om:

• micromanagement;
• volledige risico-overdracht;
• statische SLA-handhaving.

7. Hoe kom je tot conclusies en bevindingen rond CIF?

7.1 Vastlegging

Goede praktijk is om per CIF-indicatie vast te leggen:

• welke afwegingen zijn gemaakt;
• welke aannames zijn gehanteerd;
• welke alternatieven zijn overwogen;
• welke onzekerheden blijven bestaan.

Dit vormt:

• input voor marktconsultatie;
• onderbouwing van aanbestedingskeuzes;
• verantwoording richting toezichthouder (zoals De Nederlandsche Bank).

7.2 Dynamisch karakter

CIF-indicaties zijn:

• tijdgebonden (technologie en markten veranderen);
• contextafhankelijk (strategiewijziging, schaalvergroting);
• herzienbaar bij incidenten of marktontwikkelingen.

Een herijking is geen falen, maar een teken van volwassen risicomanagement.

8. Samenvattend

Een CIF-indicatie onder DORA is:

• geen compliance-label;
• geen technische classificatie;
• geen vrijbrief voor zware eisen.

Maar wél:

• een strategisch hulpmiddel;
• een ankerpunt voor marktbenadering;
• een verbindende schakel tussen toezicht, inkoop en contractmanagement.

Voor ervaren ICT-inkopers en financiële instellingen geldt:

Wie CIF-indicaties zorgvuldig en proportioneel toepast, vergroot zowel marktwerking als toezichtbestendigheid.