DORA geldt niet als de dienstverlening via een data hub loopt die in eigendom is van en/of beheerd wordt door een IT-leverancier én er geen rechtstreekse koppeling is tussen de IT-omgeving die de gevolmachtigde agent gebruikt en de IT-systemen van de verzekeraar. Is die koppeling er wel, dan is het goed mogelijk dat er wel sprake is van een ICT-dienst conform de DORA-definitie. Overigens kunnen alle bedrijven waaraan wordt uitbesteed, door hun eigen omvang wel direct onder DORA vallen.
Dit blijkt uit een juridisch advies van Kennedy van der Laan. Verzekeraars moeten vanaf 17 januari 2025 aan DORA voldoen.