Go to content

DORA-toezicht

Vanaf 17 januari 2025 bestaan onze toezicht werkzaamheden voor het grootste deel bestaan uit het uitvoeren van onder¬zoeken, het behandelen van ICT-incidenten, de verwerking van het register of information en het beoordelen van vergunningsaanvragen.                                                                   

DORA-onderzoeken

Om vast te stellen of ondernemingen voldoen aan de vereisten zullen zowel thematische onderzoeken als instellingsgerichte onderzoeken worden uitgevoerd.

Bij een thematisch onderzoek zullen een aantal ondernemingen worden geselecteerd en ligt de focus op een onderwerp uit DORA. Dit kan bijvoorbeeld een onderzoek zijn naar business continuity management of het controleren van overeenkomsten met ICT-dienstverleners.

Tijdens een instellingsgericht onderzoek zal slechts één onderneming worden geselecteerd en zullen stukken worden opgevraagd die betrekking hebben op een onderdeel uit DORA (bijvoorbeeld ICT-risicobeheer of het testen van de digitale operationele weerbaarheid). Dit type onderzoek kan per instelling verschillen. In beide gevallen blijft het uitgangspunt dat er op risico’s gebaseerd en proportioneel toezicht zal worden gehouden. Dit betekent dat de AFM toezichtcapaciteit zal inzetten waar de grootste risico’s worden verwacht.

Meldingen

Een tweede onderdeel van ons DORA-toezicht, is het behandelen van meldingen die via het Portaal binnenkomen. Denk hierbij aan ernstige ICT-incidenten, cyberdreigingen en ICT-uitbestedingen. Wanneer wij een melding ontvangen zullen wij deze beoordelen en op basis van de ontvangen informatie bepalen welke vervolgstappen nodig zijn. Wanneer de informatie bij een melding onvoldoende is, zullen wij aanvullende informatie opvragen en dient de onderneming aanvullende stukken aan te leveren. De informatie die wij uit de meldingen halen zullen wij voornamelijk gebruiken om een beeld te krijgen van ontwikkelingen in de sector.

Vergunningaanvragen

Voor ondernemingen die onder DORA gaan vallen, toetst de AFM sinds 1 augustus 2024 een aantal DORA-vereisten tijdens de vergunningaanvraag. Het doel hiervan is om ondernemingen die in aanloop naar januari 2025 een vergunning verkrijgen, te ondersteunen in het tijdig voldoen aan de DORA-vereisten. Tijdens de vergunningsaanvraag wordt onder meer gekeken naar het bestaan van bepaalde beleidstukken en procedures die verplicht zijn onder DORA.

Na 17 januari 2025 zal de AFM deze vereisten blijven toetsen tijdens vergunningaanvragen. Het kan daarom helpen om voor de vergunningaanvraag al te kijken aan welke DORA vereisten de onderneming moet gaan voldoen. Tijdens de aanvraag worden bestuurders getoetst op hun kennisniveau en vaardigheden om ICT-risico’s te begrijpen en beoordelen. DORA verwacht van bestuurders dat zij zelf over deze kennis en vaardigheden beschikken en dat zij regelmatig opleidingen volgen die hen in staat stellen om ICT-risico’s adequaat te kunnen beheren.

TLPT

De ondernemingen die worden aangewezen voor Threat-Led Penetration Testing (TLPT) zullen na adaptie van de TLPT RTS door de Europese Commissie van ons een bericht krijgen dat zij een verplichte TLPT moeten uitvoeren. Vervolgens bepalen onze testmanagers, in overleg met de onderneming, in welke periode deze test moet worden uitgevoerd.

De testmanagers begeleiden tijdens de voorbereiding en de uitvoering van de testwerkzaamheden de onderneming om te waarborgen dat de test voldoet aan de vereisten in de verordening en de RTS. Alle rapportages die, als onderdeel van de test, moeten worden gedeeld met de testmanagers, moeten worden ingediend in het DORA-portaal. Na de succesvolle afronding van de test, ontvangt de onderneming een attest, waarmee kan worden aangetoond dat er is voldaan aan de vereisten met betrekking tot TLPT.