Frequently Asked Questions about DORA

No, if there is a complete overlap between the reportable situations, you only need to report the incident via the DORA app in the AFM Portal as an ICT-related incident, including the required attachments listed there.

No, in cases where there is a complete overlap between the reportable situations for DORA and the Wft, you only need to submit a notification via the DORA app in the AFM Portal.

No, there is a dual reporting obligation for DORA and NIS2 incidents. You can report a DORA incident via the DORA app in the AFM Portal, while NIS2 incidents must be reported to the National Cyber Security Center (NCSC). For more information, visit the NCSC website: Incident Reporting and Registration Requirements.

Naast een meldingsplicht op grond van DORA voor contracten met ICT-dienstverleners die een kritieke of belangrijke functie ondersteunen, geldt er ook een meldingsplicht in het geval van voorgenomen kritieke en belangrijke uitbesteding op grond van de Wft. Deze kunnen overlappen, zoals in sommige gevallen bij uitbesteding van KYC en administratie. In gevallen waarin zowel sprake is van een meldingsplichtige ICT-dienst die op grond van DORA moet worden gemeld als een meldingsplichtige uitbestede niet-ICT-dienst die op grond van de Wft moet worden gemeld, volstaat melding via de DORA app in het AFM-portaal. Wel dient u in dat geval het meldingsformulier Uitbesteding als extra bijlage te uploaden bij de melding. 

You gain access if you have a licence from the AFM and your company are subject to DORA. Your company needs to manage access for the appropriate employees through the authorisation management system in the portal. If you have an AFM licence, are subject to DORA, and you are unable to assign access to employees through the authorisation management system, please contact the AFM Business Desk.

Ja. De ESA’s hebben op 14 februari 2025 een FAQ-document gepubliceerd over de uitvraag van de informatieregisters. Ook hebben de ESA’s op hun website informatie over het uitvragen van de informatieregisters gepubliceerd. 

U kunt het document in het xbrl-csv-format als zipfile uploaden in het AFM Portaal. Dit is ook het format waar de ESA’s voor kiezen.

U kunt het document dit jaar ook in Excel indienen. Niet iedereen beschikt dit eerste jaar over de mogelijkheid om het in xbrl-csv-format aan te bieden. Wij bieden de mogelijkheid om het in Excel in te dienen via dit excelformulier. Wij zullen de gegevens omzetten naar xbrl-csv voordat het naar de ESA’s wordt gestuurd.

Indienen in een ander format is helaas niet mogelijk. 

No. The Dry Run was a test inquiry for supervisory authorities and market participants in 2024, and the requirements differ from the format used then. We have published a form that u can use.

Indien uw ICT-dienstverlener nog geen LEI of EUID heeft, dient u een ander beschikbaar identificatienummer in te vullen. Zie ook vraag 40 van de FAQ van de ESA’s. Om te voorkomen dat uw onderneming een verzoek tot aanvulling van het informatieregister krijgt, is het belangrijk dat u dit veld niet leeg laat.

Wij verwijzen u hiervoor naar vragen 26 en 27 van de FAQ van de ESA’s. 

Wij verwijzen u naar 26 en 27 van de FAQ van de ESA’s. U dient alle lopende contracten met ICT-dienstverleners op te nemen in het informatieregister. Wanneer u sommige kolommen van het informatieregister nog niet in beeld heeft, kunt u hier ‘not applicable’ invullen, of anderszins indien een andere instructie wordt gegeven (zie vraag hierboven). 

U dient alle op 31 maart 2025 lopende contracten met ICT-dienstverleners op te nemen in het informatieregister. Als u het eerder aanlevert, verwacht de AFM van u een ‘best effort’ om de stand van zaken van 31 maart 2025 in het aan te leveren informatieregister zo dicht mogelijk te benaderen.

Ja. Op grond van de gezamenlijke informatieregisters willen de ESA’s een beeld krijgen van welke ICT-dienstverleners als kritieke ICT-dienstverleners onder toezicht moeten komen. Daarbij kunnen de draft RTS van subcontracting en de FAQ van de ESA’s (o.a. vragen 70, 79, 84, 85) als uitgangspunt worden genomen.

In beginsel dient het informatieregister alle relevante subcontracting-partijen te bevatten en is de keten niet beperkt (zie ook vraag 79 van FAQ van de ESA’s). In geval van intra-groep uitbesteding dient u ook nadruk te leggen op de eerste externe subcontracting-partij, indien van toepassing, ook als de desbetreffende ICT-dienst geen kritieke functies of wezenlijke onderdelen daarvan ondersteunt. Zie ook o.a. vraag 70 van de FAQ van de ESA’s

Voor meer informatie over het consolidatieniveau verwijzen wij u naar vraag 4-9 in de Q&A van de ESA’s.

Wij wijzen erop dat alleen als de moederonderneming een financiële entiteit is als bedoeld in artikel 2, tweede lid, DORA (dus zelf ook onder de reikwijdte van DORA valt), en op geconsolideerd niveau een informatieregister bijhoudt, er een geconsolideerd informatieregister moet worden gerapporteerd aan de bevoegde toezichthouder onder wie het toezicht op voornoemde moederonderneming valt. In dat geval hoeven de financiële entiteiten die onder de consolidatie vallen het informatieregister niet op individueel niveau te rapporteren.

Als de parent company moederonderneming geen financiële entiteit is als bedoeld in artikel 2, tweede lid, DORA,moeten financiële entiteiten die onderdeel zijn van de groep op individueel niveau het informatieregister rapporteren aan hun eigen, bevoegde toezichthouder.

Het informatieregister wordt jaarlijks opgevraagd zodat de ESA’s kunnen vaststellen welke ICT-dienstverleners onder toezicht moeten komen als kritieke ICT-dienstverleners. Wij zullen vervolgens de (gezamenlijke) informatieregisters naar de ESA’s sturen. Daarnaast kunnen wij de informatie gebruiken voor ons toezicht op de financiële entiteiten die onder DORA vallen.

Met de komst van DORA komt een nieuwe categorie ondernemingen onder toezicht te staan, de kritieke ICT-dienstverleners. Welke ICT-dienstverleners in aanmerking komen, moet aan de hand van criteria worden vastgesteld. Hiervoor is de informatie uit het informatieregister zeer geschikt. Met die informatie kunnen dit jaar de kritieke ICT-dienstverleners worden geïdentificeerd.

We have published a form that u can use for the register.

Om het template te kunnen converteren naar xBRL-CSV, is het belangrijk dat u de volgorde van de tabbladen niet wijzigt. Wanneer u tabbladen toevoegt, verwijderd of verplaatst, zal dit tot fouten in de conversie leiden. 

Nee, dat hoeft niet. Vooraf ingevulde (drop-down) velden worden pas meegenomen in de conversie wanneer u de andere velden in de rij invult. Vooraf ingevulde velden in de rijen die u niet gebruikt kunt u laten staan.

Deze velden zijn toegevoegd ten behoeve van het xBRL-csv format. Meer informatie kunt u vinden op de website van de ESA’s. Het eerste veld (“Decimals”) geeft het standaard aantal decimalen voor alle getallen in het register aan. Indien het aantal decimalen verschilt (bijvoorbeeld voor geldbedragen), kunt u dit aanpassen in de velden onder “Decimals”.

No, we consider that these institutions do not fall under the scope of Article 2 of DORA.

This depends on several factors. The European regulators elaborate on this in the answer to question 2999 on the EIOPA website.

These entities fall under DORA if they are licensed for insurance mediation, have 250 or more FTEs, or fewer than 250 FTEs but generate more than €50 million in revenue and have a balance sheet total of more than €43 million.