DORA-meldingen

In beginsel is iedereen die wettelijk vertegenwoordiger/bestuurder is, gemachtigd om DORA meldingen te doen. Indien anderen in uw organisatie (ook) DORA-meldingen gaan doen, dient u deze zelf te machtigen. U kunt dit doen door in het AFM-portaal middels machtigingenbeheer de personen binnen uw organisatie die de meldingen mogen doen aan te vinken voor DORA. Wanneer u geen toegang tot de DORA-pagina heeft, is het belangrijk om dit op tijd te melden, zodat u de verplichte meldingen in dit portaal kunt doorgeven. 

De DORA-meldingspagina zal onderdeel zijn van het AFM-portaal waar ondernemingen met een AFM-vergunning nu al toegang tot hebben. Wanneer u op 17 januari 2025 geen toegang tot de DORA-pagina heeft, is het belangrijk om dit op tijd te melden, zodat u de verplichte meldingen in dit portaal kunt doorgeven. 

Wanneer moet u melden?

Op het moment dat een ernstig ICT-incident heeft plaatsgevonden dient deze zo snel mogelijk te worden gemeld. Na de classificatie van het incident hebben ondernemingen 4 uur de tijd om een eerste kennisgeving te delen via het AFM-portaal.

Meldingen binnen 24 uur, rapport binnen 72 uur en verslag binnen 1 maand

Ernstige ICT-incidenten moeten uiterlijk 24 uur nadat deze zijn gedetecteerd, worden gemeld.

72 uur na het indienen van de eerste kennisgeving moet een tussentijds rapport worden gedeeld. In het tussentijdsrapport moeten ondernemingen meer informatie geven over het incident.

Uiterlijk een maand na het indienen van het tussentijds rapport, dient het eindverslag te worden gedeeld met de toezichthouder. Wanneer het eindverslag is beoordeeld (en goedgekeurd), wordt de melding afgerond. Zolang de melding niet is afgerond, kan het ICT-incident opnieuw worden geclassificeerd (naar een niet-ernstig ICT-incident).

Naast de meldingen voor ernstige ICT-gerelateerde incidenten, kunnen financiële ondernemingen op vrijwillige basis significante cyberdreigingen melden. Hiervoor gelden geen concrete tijdlijnen en ondernemingen kunnen deze op elk moment melden wanneer zij van oordeel zijn dat de cyberdreiging relevant is voor de financiële sector.

Nieuwe overeenkomsten met ICT-dienstverleners dienen eveneens te worden gemeld bij de AFM. Ondernemingen moeten minimaal één keer per jaar het aantal nieuwe overeenkomsten met derde aanbieders van ICT-diensten melden. In het Portaal kan dit op elk moment worden gemeld.

Hoe moet u melden?

Alle DORA-meldingen gaan via de DORA-pagina in het AFM-portaal. Voor het melden van ICT-incidenten moeten ondernemingen een bestand uploaden waarin de benodigde informatie over het incident is opgenomen. Alle vervolgmeldingen (het tussentijds rapport en eindverslag) kunnen hierna via deze melding worden ingediend in het Portaal. In het Portaal is een template beschikbaar die kan worden gebruikt voor de eerste kennisgeving, het tussentijds rapport en het eindverslag.

Melden van significante cyberdreigingen

Voor het melden van significante cyberdreigingen hoeven ondernemingen geen bestanden aan te leveren. Wanneer een onderneming een cyberdreiging meldt, moeten eerst de contactgegevens van de onderneming en contactpersonen worden ingevuld. Vervolgens kan informatie over de cyberdreiging worden gegeven. Denk hierbij aan een beschrijving van de cyberdreiging, informatie over de mogelijke impact en de status van de cyberdreiging (actief of inactief). Na het melden van de cyberdreiging hoeven geen aanvullende stukken meer te worden aangeleverd.

Melden van overeenkomsten met ICT-dienstverlener

Bij het melden van een overeenkomst met een ICT-dienstverlener, kunnen ondernemingen kiezen of het gaat om een nieuwe overeenkomst of dat er een bestaande overeenkomst is waarbij de functie die deze ICT-dienst ondersteunt, belangrijk of kritiek is geworden. Afhankelijk van deze keuze zal er worden gevraagd naar het type ICT-dienst dat wordt uitbesteed of de functie die belangrijk of kritiek is geworden. Net als bij ernstige ICT-incidenten, zal de AFM de melding beoordelen en eventueel extra informatie opvragen.