Verouderde browser

U gebruikt een verouderde browser. DNB.nl werkt het beste met:

DORA

De Digital Operational Resilience Act (DORA) is een Europese verordening die als doel heeft om de digitale weerbaarheid van de financiële sector te vergroten. De implementatie van DORA vraagt de nodige aandacht van financiële instellingen. Ondanks het feit dat sommige informatie pas later in 2024 beschikbaar komt, is het voor financiële instellingen belangrijk om al zoveel mogelijk stappen te zetten om zich voor te bereiden. Via deze pagina communiceert De Nederlandsche Bank (DNB) over DORA gerelateerde onderwerpen aan de verschillende stakeholders. 

Laatst bewerkt: 14 augustus 2024

DORA richt zich op ICT-risicomanagement, ICT-incidenten, het periodieke testen van digitale operationele weerbaarheid, de beheersing van risico’s bij uitbesteding aan (kritieke) derden en de samenwerking rond uitwisseling van informatie over cyberdreigingen. Ook introduceert DORA een kader voor Europees toezicht op kritieke derde aanbieders van ICT-diensten.  

DORA bevindt zich momenteel in de implementatiefase: instellingen hebben tot 17 januari 2025 om aan de wetgeving te voldoen.  

De verordening 

Op 27 december 2022 is DORA gepubliceerd in het Publicatieblad van de Europese Unie. DORA omvat een verordening (NL / ENG) en een richtlijn (NL / ENG). De verordening is op 17 januari 2023 in werking getreden en zal per 17 januari 2025 van toepassing zijn.  

Technische standaarden 

De drie Europese Toezichthoudende Autoriteiten (ESA’s) zijn gezamenlijk aangewezen om de ontwikkeling van de technische standaarden voor DORA te leiden.

De ontwikkeling van de technische standaarden is opgedeeld in twee sets. 

De eerste set werd 17 januari 2024 voorgelegd aan de Europese Commissie (EC). De technische reguleringsnormen (RTS’en) zijn op 25 juni 2024 gepubliceerd in het Publicatieblad van de Europese Unie en daarmee officieel vastgesteld. De technische uitvoeringsnormen (de ITS) volgen een ander proces en zullen op een later moment door de EC worden vastgesteld. De eerste set bevat de volgende documenten:

  • RTS on ICT risk management framework and RTS on simplified ICT risk management framework (NL / ENG)
  • RTS on criteria for the classification of ICT-related incidents (NL / ENG)
  • ITS to establish the templates for the register of information (final report to the EC)
  • RTS to specify the policy on ICT services performed by ICT third-party providers (NL / ENG)

De tweede set is respectievelijk 17 juli en 26 juli voorgelegd aan de EC. De tweede set bevat de volgende documenten:

  • RTS and ITS on content, timelines and templates on incident reporting
  • GL on aggregated costs and losses from major incidents
  • RTS on subcontracting of critical or important functions
  • RTS on oversight harmonisation
  • GL on oversight cooperation between ESAs and competent authorities
  • RTS on threat-led penetration testing (TLPT)