Veelgestelde vragen DORA

Nee, u dient in die gevallen waar volledige overlap tussen de meldingsplichtige situatie is, deze te melden via de DORA-app in het AFM Portaal als ICT-incident en met de bijlages die daar genoemd worden.

Nee, u dient in gevallen waar volledige overlap is tussen de meldingsplichtige situatie voor DORA en de Wft te melden via de DORA app in het AFM Portaal.

Nee, er is sprake van een dubbele meldingsplicht voor DORA- en NIS2-incidenten. De DORA-melding van een incident kunt u doen in de DORA-app van het AFM Portaal, een NIS2-melding kunt u doen bij het Nationaal Cyber Security Centrum (NCSC). Meer informatie hierover vindt u op de website van het NCSC: incident melden en registratieplicht.

Naast een meldingsplicht op grond van DORA voor contracten met ICT-dienstverleners die een kritieke of belangrijke functie ondersteunen, geldt er ook een meldingsplicht in het geval van voorgenomen kritieke en belangrijke uitbesteding op grond van de Wft. Deze kunnen overlappen, zoals in sommige gevallen bij uitbesteding van KYC en administratie. In gevallen waarin zowel sprake is van een meldingsplichtige ICT-dienst die op grond van DORA moet worden gemeld als een meldingsplichtige uitbestede niet-ICT-dienst die op grond van de Wft moet worden gemeld, volstaat melding via de DORA app in het AFM-portaal. Wel dient u in dat geval het meldingsformulier Uitbesteding als extra bijlage te uploaden bij de melding. 

U krijgt toegang tot de DORA-meldingen wanneer u een vergunning heeft bij de AFM en onder DORA valt. Uw organisatie dient via machtigingenbeheer in het portaal zelf te regelen dat de juiste medewerkers toegang hebben. Indien u een vergunning heeft bij de AFM, onder de reikwijdte van DORA valt en ten onrechte geen medewerkers kunt machtigen voor DORA via  machtigingenbeheer, kunt u contact opnemen met het ondernemersloket van de AFM.

Ja. De ESA’s hebben op 14 februari 2025 een FAQ-document gepubliceerd over de uitvraag van de informatieregisters. Ook hebben de ESA’s op hun website informatie over het uitvragen van de informatieregisters gepubliceerd. 

U kunt het document in het xBRL_CSV-format als zipfile uploaden in het AFM Portaal. Dit is ook het format waar de ESA’s voor kiezen.

U kunt het document dit jaar ook in Excel indienen. Aangezien nog niet iedereen over de mogelijkheid beschikt om het register in xBRL-CSV formaat aan te leveren, bieden wij dit jaar de mogelijkheid om de registers van Excel naar xBRL-CSV te converteren. Wij zullen de gegevens omzetten naar xBRL-CSV voordat het naar de ESA’s wordt gestuurd. Om deze conversie voor u te doen, is het belangrijk dat u gebruik maakt van ons Excel template. Wij kunnen geen andere templates converteren naar xBRL-CSV. Wij hebben instructies opgesteld voor het invullen van het template.

Indienen in een ander format is helaas niet mogelijk. 

Nee. De dry run was een testuitvraag voor de toezichthouders en de marktpartijen in 2024 en er zijn andere vereisten ten opzichte van het format dat toen gebruikt is. Wij stellen een Excelformulier beschikbaar.

Indien uw ICT-dienstverlener nog geen LEI of EUID heeft, dient u een ander beschikbaar identificatienummer in te vullen. Zie ook vraag 40 van de FAQ van de ESA’s. Om te voorkomen dat uw onderneming een verzoek tot aanvulling van het informatieregister krijgt, is het belangrijk dat u geen dummy code gebruikt en dit veld niet leeg laat.

Wij verwijzen u hiervoor naar vragen 26 en 27 van de FAQ van de ESA’s. 

Wij verwijzen u naar 26 en 27 van de FAQ van de ESA’s. U dient alle lopende contracten met ICT-dienstverleners op te nemen in het informatieregister. Wanneer u sommige kolommen van het informatieregister nog niet in beeld heeft, kunt u hier ‘not applicable’ invullen, of anderszins indien een andere instructie wordt gegeven (zie vraag hierboven). 

U dient alle op 31 maart 2025 lopende contracten met ICT-dienstverleners op te nemen in het informatieregister. Als u het eerder aanlevert, verwacht de AFM van u een ‘best effort’ om de stand van zaken van 31 maart 2025 in het aan te leveren informatieregister zo dicht mogelijk te benaderen.

Ja. Op grond van de gezamenlijke informatieregisters willen de ESA’s een beeld krijgen van welke ICT-dienstverleners als kritieke ICT-dienstverleners onder toezicht moeten komen. Daarbij kunnen de draft RTS van subcontracting en de FAQ van de ESA’s (o.a. vragen 70, 79, 84, 85) als uitgangspunt worden genomen.

Hiervoor verwijzen we naar vragen 4 tot en met 9 van de FAQ van de ESA’s). 

In aanvulling daarop zal DNB bij (moederondernemingen van) banken en verzekeraars onder haar toezicht het informatieregister op geconsolideerd prudentieel niveau opvragen. Indien binnen dit informatieregister ook de informatieregisters zijn geconsolideerd met betrekking tot één of meerdere andere financiële entiteiten waarvan de AFM de bevoegde toezichthouder is ten aanzien van DORA, kan aanlevering van het informatieregister bij DNB voldoende zijn. Om dubbele rapportage van gegevens te voorkomen moeten de individuele en ge(sub)consolideerde registers in dit geval niet bij de AFM worden ingediend. 

Dit kan alleen wanneer in het geconsolideerde informatieregister voor iedere afzonderlijke financiële entiteit de onderdelen van het informatieregister te herleiden zijn. Als dit niet mogelijk is, verwacht de AFM dat het informatieregister bij haar op het niveau van de individuele entiteit of gesubconsolideerd wordt aangeleverd. 

Nee, financiële entiteiten moeten altijd een informatieregister bijhouden op individueel en ge(sub)consolideerd niveau.

Onderscheid moet worden gemaakt tussen de verplichting tot het handhaven en actualiseren (samengevat bijhouden) van een ROI enerzijds en de verplichting tot het verstrekken van de ROI aan de bevoegde autoriteiten anderzijds. Deze eerste verplichting rust op alle financiële entiteiten en houdt in dat zij op het niveau van de entiteit (en op gesubconsolideerd en geconsolideerd niveau) een ROI moeten handhaven en actualiseren. De tweede verplichting houdt in dat de financiële entiteiten op verzoek van de bevoegde autoriteit hun volledige ROI of desgevraagd specifieke onderdelen daarvan ter beschikking moeten stellen.

In beginsel dient het informatieregister alle relevante subcontracting-partijen te bevatten en is de keten niet beperkt (zie ook vraag 79 van FAQ van de ESA’s). In geval van intra-groep uitbesteding dient u ook nadruk te leggen op de eerste externe subcontracting-partij, indien van toepassing, ook als de desbetreffende ICT-dienst geen kritieke functies of wezenlijke onderdelen daarvan ondersteunt. Zie ook o.a. vraag 70 van de FAQ van de ESA’s

Het informatieregister wordt jaarlijks opgevraagd zodat de ESA’s kunnen vaststellen welke ICT-dienstverleners onder toezicht moeten komen als kritieke ICT-dienstverleners. Wij zullen vervolgens de (gezamenlijke) informatieregisters naar de ESA’s sturen. Daarnaast kunnen wij de informatie gebruiken voor ons toezicht op de financiële entiteiten die onder DORA vallen.

Met de komst van DORA komt een nieuwe categorie ondernemingen onder toezicht te staan, de kritieke ICT-dienstverleners. Welke ICT-dienstverleners in aanmerking komen, moet aan de hand van criteria worden vastgesteld. Hiervoor is de informatie uit het informatieregister zeer geschikt. Met die informatie kunnen dit jaar de kritieke ICT-dienstverleners worden geïdentificeerd.

Zeker, u kunt dit Excelformulier gebruiken waarna wij het omzetten naar het juiste formaat voor de ESA's. Wij hebben instructies opgesteld voor het invullen van het template.

Om het template te kunnen converteren naar xBRL-CSV, is het belangrijk dat u de volgorde van de tabbladen niet wijzigt. Wanneer u tabbladen toevoegt, verwijderd of verplaatst, zal dit tot fouten in de conversie leiden. Wij hebben instructies opgesteld voor het invullen van het template.

Nee, dat hoeft niet. Vooraf ingevulde (drop-down) velden worden pas meegenomen in de conversie wanneer u de andere velden in de rij invult. Vooraf ingevulde velden in de rijen die u niet gebruikt kunt u laten staan. Wij hebben instructies opgesteld voor het invullen van het template.

Deze kolom is toegevoegd ten behoeve van het xBRL-CSV format. Deze kolom dient u leeg te laten.Wij hebben instructies opgesteld voor het invullen van het template.

Ja, op basis van veelvoorkomende fouten en vragen uit de sector hebben wij een instructie geschreven waarin de punten staan waar u op moet letten tijdens het invullen van het template. 

Nee, Wij zijn van mening dat deze instellingen niet vallen onder de reikwijdte van artikel 2 van DORA.

Dit hangt van een aantal factoren af. De Europese Commissie heeft op deze vraag antwoord gegeven, zie daarvoor DORA030 dat op de website van EIOPA is gepubliceerd.

Indien geen sprake zou zijn van een ICT-dienst op grond van voorgaande EC DORA Q&A, kunnen er nog steeds ICT-risico’s en -incidenten bij de onderneming uit voortkomen. Andere hoofdstukken van DORA, zoals het hoofdstuk ICT-risk management, kunnen dan wel van toepassing zijn.

Deze instellingen vallen onder de reikwijdte van DORA als ze een vergunning hebben voor het bemiddelen in verzekeren, 250 of meer fte hebben of minder dan 250 fte maar meer dan €50 miljoen euro omzet én meer dan €43 miljoen balanstotaal.

Als de instelling onderdeel is van een groep ondernemingen, dienen de fte, omzet en balanstotaal van alle financiële entiteiten (zoals genoemd in artikel 2, lid 1 van DORA) bij elkaar worden opgeteld.