Verouderde browser

U gebruikt een verouderde browser. DNB.nl werkt het beste met:

Nieuwsberichten

DORA

Lees voor

De Digital Operational Resilience Act (DORA) is een Europese verordening die als doel heeft om de digitale weerbaarheid van de financiële sector te vergroten. De implementatie van DORA vraagt de nodige aandacht van financiële instellingen. Ondanks het feit dat sommige informatie pas later in 2024 beschikbaar komt, is het voor financiële instellingen belangrijk om al zoveel mogelijk stappen te zetten om zich voor te bereiden. Via deze pagina communiceert De Nederlandsche Bank (DNB) over DORA gerelateerde onderwerpen aan de verschillende stakeholders. 

Laatst bewerkt: 18 december 2024

DORA richt zich op ICT-risicomanagement, ICT-incidenten, het periodieke testen van digitale operationele weerbaarheid, de beheersing van risico’s bij uitbesteding aan (kritieke) derden en de samenwerking rond uitwisseling van informatie over cyberdreigingen. Ook introduceert DORA een kader voor Europees toezicht op kritieke derde aanbieders van ICT-diensten.  

DORA bevindt zich momenteel in de implementatiefase: instellingen hebben tot 17 januari 2025 om aan de wetgeving te voldoen.  

De verordening 

Op 27 december 2022 is DORA gepubliceerd in het Publicatieblad van de Europese Unie. DORA omvat een verordening (NL / ENG) en een richtlijn (NL / ENG). De verordening is op 17 januari 2023 in werking getreden en zal per 17 januari 2025 van toepassing zijn.  

Technische standaarden 

De drie Europese Toezichthoudende Autoriteiten (ESA’s) zijn gezamenlijk aangewezen om de ontwikkeling van de technische standaarden voor DORA te leiden.

De ontwikkeling van de technische standaarden is opgedeeld in twee sets. 

De eerste set werd 17 januari 2024 voorgelegd aan de Europese Commissie (EC). De technische reguleringsnormen (RTS’en) zijn op 25 juni 2024 gepubliceerd in het Publicatieblad van de Europese Unie en daarmee officieel vastgesteld. De technische uitvoeringsnormen (de ITS) volgen een ander proces en zullen op een later moment door de EC worden vastgesteld. De eerste set bevat de volgende documenten:

  • RTS on ICT risk management framework and RTS on simplified ICT risk management framework (NL / ENG)
  • RTS on criteria for the classification of ICT-related incidents (NL / ENG)
  • ITS to establish the templates for the register of information (NL / ENG)
  • RTS to specify the policy on ICT services performed by ICT third-party providers (NL / ENG)

De tweede set is respectievelijk 17 juli en 26 juli voorgelegd aan de EC. De tweede set bevat de volgende documenten:

  • RTS and ITS on content, timelines and templates on incident reporting
  • GL on aggregated costs and losses from major incidents
  • RTS on subcontracting of critical or important functions
  • RTS on oversight harmonisation
  • GL on oversight cooperation between ESAs and competent authorities
  • RTS on threat-led penetration testing (TLPT) 

Rapportages en meldingen

In DORA zijn verschillende verplichtingen opgenomen voor ad-hoc rapportages en meldingen. Onderstaand kunt u per rapportage of melding lezen hoe deze (per 17 januari 2025) ingediend kan worden.

Swipe onderstaande tabel om meer kolommen te zien.

Rapportage of melding

Toelichting
Rapportages van ernstige ICT-gerelateerde incidenten (art. 19 lid 1 en art. 23)

Template
Rapporteren via Mijn DNB – Aanvragen en meldingen – melding Major ICT-incidents.

 

Vrijwillige melding van significante cyberdreigingen (art. 19 lid 2)

Template
Melden via: Mijn DNB – Aanvragen en Meldingen – overige meldingen.

 

Melding (geplande) contractuele regelingen inzake het gebruik van ICT-diensten die cruciale of belangrijke functies ondersteunen (art. 28 lid 3, 5de paragraaf)

Melden via: Mijn DNB – Melding uitbesteding/gebruik ICT-diensten.

Melding van start of beëindiging van deelname in een vertrouwensgemeenschap (art. 45 lid 3)

Template
Melden via: Mijn DNB – Aanvragen en Meldingen – overige meldingen.

 

Rapportages op verzoek van DNB, bijvoorbeeld het informatieregister of de uitwisseling van bestanden ten behoeve van TLPT kennen een ander karakter. Als DNB deze opvraagt, zal DNB tegelijkertijd aangegeven hoe DNB deze verwacht te ontvangen. Meer informatie over de rapportage van het informatieregister wordt begin januari gepubliceerd.

Nieuwsberichten

DNB maakt gebruik van cookies

Om de gebruiksvriendelijkheid van onze website te optimaliseren, maken wij gebruik van cookies. 
Lees meer over de cookies die wij gebruiken en de gegevens die we daarmee verzamelen in onze cookie-policy.

Om de website goed te laten werken plaatst De Nederlandsche Bank (DNB) zogeheten functionele cookies en analytics cookies. Maatregelen zijn genomen teneinde zeker te stellen dat deze cookies geen of maar weinig gevolgen heeft voor de privacy van bezoekers.

Op sommige pagina's wordt content van externe websites ingesloten. Deze websites kunnen gebruik maken van eigen (tracking) cookies. Hiermee kunnen derde partijen bijvoorbeeld bezoekersstatistieken bijhouden, gepersonaliseerde content tonen en gerichte advertenties tonen. U kunt zowel bij uw eerste bezoek aan de website als op het moment dat u op een pagina met ingesloten content komt, uw keuze maken over het toestaan van deze optionele cookies.