Elsősorban azoknak az IT- és üzleti szolgáltatóknak, akik DORA-kötelezett szervezetek partnerei (beszállítók, kiszervezett szolgáltatók, felhő/üzemeltetés/fejlesztés, managed szolgáltatások), és a megrendelői elvárások miatt igazolható, strukturált ICT kockázatkezelést, incidenskezelési és reziliencia alapú működést szeretnének kialakítani – úgy, hogy az illeszkedjen a szerződéses elvárásokhoz és a tényleges működésükhöz is.
A DORA-kötelezettek partnerei számára a kihívás jellemzően az, hogy a megrendelők nem csak a dokumentációkban szeretnék viszont látni az elvártakat, hanem olyan működést várnak, amely auditálható, szerződésben leírható, és egy esetleges incidens esetén kiszámítható. A megközelítésünk ezért szolgáltatói szemléletű: először tisztázzuk a szolgáltatás scope-ot és a függőségeket (beleértve az alvállalkozókat), majd kialakítjuk a szükséges kockázatkezelési, incidens- és reziliencia-kereteket úgy, hogy azok a tényleges üzemeltetési/fejlesztési/szolgáltatási folyamatokban is megjelenjenek.
Kiemelt terület a szerződéses megfeleltethetőség és a megrendelői interfészek kezelése: mit, hogyan és milyen határidővel kell tudni lejelenteni; milyen evidenciákat szükséges előállítani; milyen audit- és ellenőrzési jogokat kell kezelni. Az előzőek mellett hogyan biztosítható a szolgáltatás átadása vagy cseréje (exit stratégia). Emellett a reziliencia akkor válik hitelessé, ha a tesztelés és az elvégzett gyakorlatok nem csupán egyszeri események, hanem visszacsatolt működésen alapulnak: mérhető javító intézkedésekkel és egyre stabilabb szolgáltatási képességgel.
