Nieuwsberichten
- DORA-seminars voor de pensioen- en verzekeringssector in september 2025
- Resultaten sectorbrede uitvraag naar DORA-implementatie
- DORA: status uitvraag informatieregister
- Aanlevering DORA informatieregister
- DORA: uitvraag DORA informatieregister in april 2025
- DORA: het toezicht van DNB per 17 januari 2025
- DNB DORA-seminars oktober 2024
- DORA: voorlopig format en proces voor het rapporteren van het informatieregister
- Voorbereiding op DORA: vergroten van de digitale weerbaarheid
- DORA: uitnodiging voor ‘dry run’ ter voorbereiding op rapportering informatieregister
- DORA: 17 januari 2025 nadert sneller dan u denkt
DORA
De Digital Operational Resilience Act (DORA) is een Europese verordening die als doel heeft om de digitale weerbaarheid van de financiële sector te vergroten. Via deze pagina communiceert De Nederlandsche Bank (DNB) over DORA gerelateerde onderwerpen aan de verschillende stakeholders.
Laatst bewerkt: 22 juli 2025
DORA richt zich op ICT-risicomanagement, ICT-incidenten, het periodieke testen van digitale operationele weerbaarheid, de beheersing van risico’s bij uitbesteding aan (kritieke) derden en de samenwerking rond uitwisseling van informatie over cyberdreigingen. Ook introduceert DORA een kader voor Europees toezicht op kritieke derde aanbieders van ICT-diensten.
Instellingen dienen per 17 januari 2025 aan de wetgeving te voldoen.
De verordening
Op 27 december 2022 is DORA gepubliceerd in het Publicatieblad van de Europese Unie. DORA omvat een verordening (NL / ENG) en een richtlijn (NL / ENG). De verordening is op 17 januari 2023 in werking getreden en is per 17 januari 2025 van toepassing. Voor Nederland is in bijlage 35 van het Besluit EU-verordeningen Wft de aanwijzing van de bevoegde toezichthouder voor DORA opgenomen. Het besluit regelt ook welke artikelen uit DORA ingeval van overtreding gehandhaafd kunnen worden met een bestuurlijke boete of last onder dwangsom.
Technische standaarden
De drie Europese Toezichthoudende Autoriteiten (ESA’s) waren gezamenlijk aangewezen om de ontwikkeling van de technische standaarden voor DORA te leiden.
Alle technische standaarden zijn inmiddels gepubliceerd in het Publicatieblad van de Europese Unie. Het betreft:
- RTS on ICT risk management framework and RTS on simplified ICT risk management framework (NL / ENG)
- RTS on criteria for the classification of ICT-related incidents (NL / ENG)
- RTS on content, timelines and templates on incident reporting (NL / ENG)
- ITS on content, timelines and templates on incident reporting (NL / ENG)
- RTS to specify the policy on ICT services performed by ICT third-party providers (NL / ENG)
- ITS to establish the templates for the register of information (NL / ENG)
- RTS on threat-led penetration testing (TLPT) (NL / ENG)
- RTS on subcontracting of critical or important functions (NL / ENG)
- RTS on oversight harmonization (NL / ENG)
- GL on aggregated costs and losses from major incidents (NL / ENG)
- GL on oversight cooperation between ESAs and competent authorities (NL / ENG)
Het Europese proces voor vraag en antwoord (Q&A)
De drie ESA's faciliteren samen een proces dat financiële entiteiten in staat stelt vragen te stellen en antwoorden te ontvangen. Het doel van het proces is om een consistente en effectieve toepassing van de Europese regelgeving te garanderen en de toezichtconvergentie te bevorderen. Bestaande Q&A’s voor DORA zijn hier te vinden.
Bezoek voor meer informatie over de Q&A-procedure de websites van EBA, EIOPA of ESMA.
Rapportages en meldingen
In DORA zijn verschillende verplichtingen opgenomen voor ad-hoc rapportages en meldingen. Onderstaand kunt u per rapportage of melding lezen hoe deze ingediend kan worden.
|
Rapportage of melding |
Toelichting |
|---|---|
| Rapportages van ernstige ICT-gerelateerde incidenten (art. 19 lid 1 en art. 23) |
Template Let op: Financiële instellingen binnen de reikwijdte van NIS2, dienen de incident melding ook te doen bij het NCSC (Lees op NCSC.nl meer over de NIS2-registratieplicht en de meldplicht).
|
|
Vrijwillige melding van significante cyberdreigingen (art. 19 lid 2) |
Template
|
|
Melding (geplande) contractuele regelingen inzake het gebruik van ICT-diensten die kritieke of belangrijke functies ondersteunen (art. 28 lid 3, 5de paragraaf) |
Melden via: Mijn DNB – Melding uitbesteding/gebruik ICT-diensten. |
|
Melding van start of beëindiging van deelname in een vertrouwensgemeenschap (art. 45 lid 3) |
Template
|
Rapportages op verzoek van DNB, bijvoorbeeld het informatieregister of de uitwisseling van bestanden ten behoeve van TLPT kennen een ander karakter. Als DNB deze opvraagt, zal DNB tegelijkertijd aangegeven hoe DNB deze verwacht te ontvangen.
Nieuwsberichten
- DORA-seminars voor de pensioen- en verzekeringssector in september 2025
- Resultaten sectorbrede uitvraag naar DORA-implementatie
- DORA: status uitvraag informatieregister
- Aanlevering DORA informatieregister
- DORA: uitvraag DORA informatieregister in april 2025
- DORA: het toezicht van DNB per 17 januari 2025
- DNB DORA-seminars oktober 2024
- DORA: voorlopig format en proces voor het rapporteren van het informatieregister
- Voorbereiding op DORA: vergroten van de digitale weerbaarheid
- DORA: uitnodiging voor ‘dry run’ ter voorbereiding op rapportering informatieregister
- DORA: 17 januari 2025 nadert sneller dan u denkt
DNB maakt gebruik van cookies
Om de gebruiksvriendelijkheid van onze website te optimaliseren, maken wij gebruik van cookies.
Lees meer over de cookies die wij gebruiken en de gegevens die we daarmee verzamelen in onze cookie-policy.