DORA-meldingen

De DORA-meldingspagina zal onderdeel zijn van het AFM-portaal waar ondernemingen met een AFM-vergunning nu al toegang tot hebben. Wanneer u op 17 januari 2025 geen toegang tot de DORA-pagina heeft, is het belangrijk om dit op tijd te melden, zodat u de verplichte meldingen in dit portaal kunt doorgeven. 

Ernstige ICT-gerelateerde incidenten

Op het moment dat een ernstig ICT-gerelateerd incident heeft plaatsgevonden, moeten ondernemingen 4 uur na de classificatie (en uiterlijk 24 uur na de detectie) van het incident een eerste kennisgeving delen via het AFM-portaal. Wat ernstige ICT-gerelateerde incidenten zijn staat in de RTS voor de classificatie van ICT-gerelateerde incidenten en cyberdreigingen.

Tussentijds rapport binnen 72 uur

Deze eerste kennisgeving geeft generieke informatie over het incident, zoals een beschrijving van het incident en wanneer het is ontdekt. Daarnaast moet u 72 uur na het indienen van de eerste kennisgeving een tussentijds rapport delen met de toezichthouder. Het tussentijds rapport moet meer informatie geven over het incident. In de rapportage moet u bijvoorbeeld beschrijven welke bedrijfsprocessen zijn geraakt door het incident en de impact die het incident heeft gehad op klanten. Daarnaast moet u in het tussentijds rapport bechrijven welke tijdelijke maatregelen zijn getroffen om het incident te herstellen.

Eindverslag na 1 maand

Uiterlijk een maand na het indienen van het tussentijds rapport, moet u het eindverslag delen met de toezichthouder. Hierin bechrijft u onder meer wat de oorzaak van het incident was, hoe het incident is opgelost en de directe en indirecte kosten die zijn gemaakt als gevolg van het incident. Ondernemingen kunnen voor de rapportages gebruik maken van de templates in het AFM-portaal.

Wij zullen bij de beoordeling van de rapportages kijken naar de volledigheid van het incidentenrapport. Daarnaast beoordelen wij of het incident (en de impact hiervan) voldoende wordt beschreven in de rapportage. Wanneer dit niet het geval is, vragen wij om aanvullende informatie om dit te achterhalen.

Naast de meldingen voor ernstige ICT-gerelateerde incidenten, kunnen financiële ondernemingen op vrijwillige basis significante cyberdreigingen melden. Beide soorten meldingen gebruiken wij voornamelijk om te bepalen of er ICT-incidenten hebben plaatsgevonden of cyberdreigingen actief zijn die impact (kunnen) hebben op de financiële sector.

Nieuwe contractuele overeenkomsten

Nieuwe overeenkomsten met ICT-dienstverleners dient u eveneens bij ons te melden. Ook deze kunt u, net als ICT-incidenten en cyberdreigingen, in het DORA-portaal kwijt.

Bij het melden van een overeenkomst met een ICT-dienstverlener, kunnen ondernemingen kiezen of het gaat om een nieuwe overeenkomst of dat er een bestaande overeenkomst is waarbij de functie die deze ICT-dienst ondersteunt, belangrijk of kritiek is geworden. Afhankelijk van deze keuze zullen wij vragen naar het type ICT-dienst dat u uitbesteedt of naar de functie die belangrijk of kritiek is geworden. Net als bij ernstige ICT-incidenten, beoordelen wij de melding en vragen eventueel extra informatie op.