Hoe maak je een longlist voorafgaand aan een marktconsultatie?

ICT-inkoop in de financiële sector – met DORA als uitgangspun

Inleiding

De voorbereiding van een marktconsultatie bepaalt in hoge mate het succes van de latere aanbesteding. Binnen de financiële sector is het opstellen van een longlist daarbij extra kritisch, mede door de toenemende regulatoire druk vanuit onder meer de Digital Operational Resilience Act (DORA).

De longlist is geen leveranciersselectie, maar een breed en objectief marktbeeld. Met de komst van DORA krijgt deze fase een aanvullende functie: vroegtijdig inzicht krijgen in de mate waarin de markt operationeel weerbaar, uitbestedingsproof en toezichtbestendig is.

1. De longlist in het licht van DORA

DORA (van toepassing vanaf januari 2025) verplicht financiële instellingen om aantoonbaar grip te hebben op ICT-risico’s en ICT-uitbesteding. Dit raakt direct aan de longlistfase.

De longlist helpt om:

inzicht te krijgen in de volwassenheid van ICT-aanbieders op het gebied van operationele weerbaarheid;
te toetsen of de markt realistisch kan voldoen aan DORA-verplichtingen;
te voorkomen dat aanbestedingen onbedoeld sturen op een te beperkt of onhaalbaar leverancierslandschap.

👉 Relevante bron:

Europese Commissie – DORA: https://finance.ec.europa.eu/digital-operational-resilience-act_en

2. Scopebepaling: expliciet rekening houden met DORA

Bij het bepalen van de scope van de longlist moet DORA expliciet worden meegenomen, zonder al eisen te stellen.

Functionele scope

Kritieke of belangrijke bedrijfsfuncties (zoals bedoeld in DORA)
Ondersteunende ICT-diensten (cloud, data, integratie, security tooling)
SaaS-, PaaS- en IaaS-dienstverlening

Technische en operationele context

Architecturen met hoge beschikbaarheid en failover
Incident- en continuitymanagement
Monitoring, logging en detectie

Uitbesteding & toezicht

Derde- en vierde-partijen (ketenafhankelijkheden)
Exit- en substitutiemogelijkheden
Audit- en toegangsrechten voor toezichthouders

In deze fase gaat het niet om toetsen, maar om verkennen of de markt dit type context aankan.

3. Bronnen: DORA verrijkt de marktverkenning

Naast gebruikelijke marktbronnen is het raadzaam om specifiek te kijken naar:

Leveranciers die ervaring hebben met regulated industries
Publicaties en good practices van De Nederlandsche Bank
Europese richtsnoeren over ICT-risico en uitbesteding
Aanbestedingen waarin DORA (of vergelijkbare eisen) al impliciet is meegenomen

👉 Aanvullende bronnen:

DNB – ICT-risico & uitbesteding: https://www.dnb.nl/voor-de-sector/open-boek-toezicht/
PIANOo – Marktconsultatie: https://www.pianoo.nl/nl/marktconsultatie

4. Longlist-criteria: DORA-bewust, maar niet selecterend

In de longlistfase werk je met beschrijvende DORA-indicatoren, geen eisen.

Voorbeelden van DORA-relevante longlistkenmerken:

Type dienstverlening (kritiek / ondersteunend)
Ervaring met gereguleerde klanten (globaal)
Positionering t.a.v. cloud en uitbesteding
Aanwezigheid van BCM-, incident- en securityprocessen (ja/nee)
Gebruik van onderaannemers (hoog-over)

Vermijd:

concrete DORA-compliance-eisen;
audit- of rapportageverplichtingen;
exit- of SLA-eisen.

Deze volgen pas na marktconsultatie en beleidskeuzes.

5. Strategische waarde: realiteitscheck voor DORA

Een goed opgebouwde longlist voorkomt dat:

eisen worden gesteld die alleen incumbents kunnen halen;
DORA wordt “oververtaald” naar onnodig zware aanbestedingseisen;
de marktconsultatie te smal of te technisch wordt ingestoken.

De longlist fungeert daarmee als realiteitscheck tussen beleid, toezicht en markt.

Conclusie

Met DORA is de longlist niet langer alleen een marktverkenningsinstrument, maar ook een risicobeheersingsinstrument. Voor ervaren ICT-inkopers en aanbestedende diensten in de financiële sector geldt:

Een zorgvuldige longlist is de eerste stap naar aantoonbaar beheerste ICT-uitbesteding.