Nieuws
07/01/25
DORA-update 6: wat is te verwachten op het gebied van DORA-toezicht
Op 17 januari moeten alle financiële ondernemingen die onder DORA vallen, voldoen aan de vereisten in de verordening en de nadere regelgeving. In de laatste DORA-update van de Autoriteit Financiële Markten (AFM) lichten wij toe wat ondernemingen kunnen verwachten in 2025. Hierbij gaan wij in op ons eigen toezicht en welke informatieverzoeken ondernemingen kunnen verwachten vanuit de Europese toezichthouders.Om tijdig te voldoen aan de vereisten in DORA is het belangrijk dat ondernemingen al begonnen zijn met de implementatie van de vereisten in de verordening en de Regulatory Technical Standards en gebruikmaken van de templates in de Implementing Technical Standards. Hoewel de Europese Commissie over sommige onderdelen nog een besluit moet nemen, is sterk aan te raden dat ondernemingen nu al aan de slag gaan met de implementatie van deze vereisten. De verwachting is dat deze nadere regelgeving niet erg zal veranderen.
Toezicht door de AFM
Na de inwerkingtreding van DORA begint ons toezicht. Denk daarbij aan het opzetten van onderzoeken om vast te stellen of ondernemingen voldoen aan de vereisten, het behandelen van ernstige ICT-incidentmeldingen en de controle bij een vergunningaanvraag.DORA-onderzoeken
De onderzoeken die wij zullen uitvoeren zijn thematisch of instellingsgericht. Bij een thematisch onderzoek kijken wij bij meerdere partijen of de onderneming voldoet op een bepaald punt in de regelgeving. Bij een instellingsgericht onderzoek vragen wij bij één onderneming allerlei stukken op die te maken hebben met ICT-beveiliging.Meldingen via DORA-portaal
Daarnaast moeten ondernemingen ernstige ICT-incidenten en overeenkomsten met ICT-dienstverleners bij ons melden. Financiële ondernemingen krijgen vanaf 17 januari toegang tot de DORA-pagina in ons portaal. Dit zal onderdeel zijn van het AFM-portaal waar ondernemingen nu al toegang tot hebben. Controleer dat tijdig. Wanneer u op 17 januari geen toegang tot de DORA-pagina heeft, is het belangrijk om dit op tijd te melden.DORA-vereisten bij vergunningaanvraag
Tijdens de vergunningaanvraag van ondernemingen bij ons, toetsen wij ook op de DORA-vereisten. Dat doen wij al sinds 1 augustus 2024. Doel daarvan was toen om ondernemingen te ondersteunen in het tijdig voldoen aan de DORA-vereisten. En ook na 17 januari kijken we voor de vergunningverlening naar de aanwezigheid van bepaalde beleidstukken en procedures die verplicht zijn onder DORA.TLPT-tests
Sommige ondernemingen moeten een uitgebreide Threat Led Penetration Testing (TLPT) doen. Ondernemingen die hiervoor worden aangewezen, zullen hier nog apart over worden geïnformeerd. AFM-testmanagers zullen de onderneming begeleiden bij de voorbereiding en de uitvoering van de test. De nadere regelgeving van TLPT moet nog door de Europese Commissie worden aangenomen.Europese informatieverzoeken
Wij hebben ook een rol bij het verzamelen en controleren van informatie die de Europese toezichthouders opvragen. Het gaat daarbij om de European Insurance and Occupational Pensions Authority (EIOPA), European Securities and Markets Authority (ESMA) en European Banking Authority (EBA), de European Supervisory Authorities (ESAs) genoemd. Denk daarbij aan het informatieregister dat eind april opgeleverd moet worden.
Tags
Banken & verzekeraars Beleggingsinstellingen Beleggingsondernemingen Crowdfundingplatformen Cryptopartijen Handels- & afwikkelplatformenContact bij dit artikel
Wilt u het laatste nieuws van de AFM ontvangen?
Schrijft u zich dan in voor onze nieuwsbrief, dan houden wij u op de hoogte.