Nieuwsberichten
- DORA: uitvraag DORA informatieregister in maart 2026
- Uitvraag DORA informatieregister 1ste kwartaal 2026
- Vragenlijst SBA-Cyberweerbaarheid voor de pensioen- en verzekeringssector gepubliceerd
- DORA-seminars voor de pensioen- en verzekeringssector in september 2025
- Resultaten sectorbrede uitvraag naar DORA-implementatie
- DORA: status uitvraag informatieregister
- Aanlevering DORA informatieregister
- DORA: uitvraag DORA informatieregister in april 2025
- DORA: het toezicht van DNB per 17 januari 2025
- DNB DORA-seminars oktober 2024
- DORA: voorlopig format en proces voor het rapporteren van het informatieregister
- Voorbereiding op DORA: vergroten van de digitale weerbaarheid
- DORA: uitnodiging voor ‘dry run’ ter voorbereiding op rapportering informatieregister
- DORA: 17 januari 2025 nadert sneller dan u denkt
DORA
De Digital Operational Resilience Act (DORA) is een Europese verordening die als doel heeft om de digitale weerbaarheid van de financiële sector te vergroten. Via deze pagina communiceert De Nederlandsche Bank (DNB) over DORA gerelateerde onderwerpen.
Laatst bewerkt: 24 februari 2026
DORA richt zich op ICT-risicomanagement, ICT-incidenten, het periodieke testen van digitale operationele weerbaarheid, de beheersing van risico’s bij uitbesteding aan (kritieke) derden en de samenwerking rond uitwisseling van informatie over cyberdreigingen. Ook introduceert DORA een kader voor Europees toezicht op kritieke derde aanbieders van ICT-diensten.
Informatie over de uitvraag van het informatieregister vindt u zowel in de sectie Frequently Asked Questions onderaan deze website en in de sectie Nieuwsberichten.
De verordening
Op 27 december 2022 is DORA gepubliceerd in het Publicatieblad van de Europese Unie. DORA omvat een verordening (NL / ENG) en een richtlijn (NL / ENG). De verordening is op 17 januari 2023 in werking getreden en is per 17 januari 2025 van toepassing. Voor Nederland is in bijlage 35 van het Besluit EU-verordeningen Wft de aanwijzing van de bevoegde toezichthouder voor DORA opgenomen. Het besluit regelt ook welke artikelen uit DORA ingeval van overtreding gehandhaafd kunnen worden met een bestuurlijke boete of last onder dwangsom.
Technische standaarden
De drie Europese Toezichthoudende Autoriteiten (ESA’s) waren gezamenlijk aangewezen om de ontwikkeling van de technische standaarden voor DORA te leiden.
Alle technische standaarden zijn inmiddels gepubliceerd in het Publicatieblad van de Europese Unie. Het betreft:
- RTS on ICT risk management framework and RTS on simplified ICT risk management framework (NL / ENG)
- RTS on criteria for the classification of ICT-related incidents (NL / ENG)
- RTS on content, timelines and templates on incident reporting (NL / ENG)
- ITS on content, timelines and templates on incident reporting (NL / ENG)
- RTS to specify the policy on ICT services performed by ICT third-party providers (NL / ENG)
- ITS to establish the templates for the register of information (NL / ENG)
- RTS on threat-led penetration testing (TLPT) (NL / ENG)
- RTS on subcontracting of critical or important functions (NL / ENG)
- RTS on oversight harmonization (NL / ENG)
- GL on aggregated costs and losses from major incidents (NL / ENG)
- GL on oversight cooperation between ESAs and competent authorities (NL / ENG)
Het Europese proces voor vraag en antwoord (Q&A)
De drie ESA's faciliteren samen een proces dat financiële entiteiten in staat stelt vragen te stellen en antwoorden te ontvangen. Het doel van het proces is om een consistente en effectieve toepassing van de Europese regelgeving te garanderen en de toezichtconvergentie te bevorderen. Bestaande Q&A’s voor DORA zijn hier te vinden.
Bezoek voor meer informatie over de Q&A-procedure de websites van EBA, EIOPA of ESMA.
Het Europese oversight op kritieke ICT-dienstverleners
Om potentiële systeemrisico’s te beheersen die voortkomen uit de toegenomen uitbesteding van ICT-diensten en de concentratie daarvan bij een tiental grote externe aanbieders, introduceert DORA een oversight raamwerk. Het raamwerk draagt bij aan de stabiliteit en integriteit van het financiële stelsel.
De ESA’s wezen 19 kritieke ICT dienstverleners aan voor Europees oversight. Om meer uitleg te bieden over de aard en opzet van het oversight raamwerk publiceerden de ESA’s ook een achtergronddocument. Het document biedt een algemene toelichting op het raamwerk. Daarnaast biedt het meer informatie over onder andere de bestuursstructuur, de toezichtprocessen, en de instrumenten waarover de toezichthouders beschikken.
Rapportages en meldingen
In DORA zijn verschillende verplichtingen opgenomen voor ad-hoc rapportages en meldingen. Onderstaand kunt u per rapportage of melding lezen hoe deze ingediend kan worden.
|
Rapportage of melding |
Toelichting |
|---|---|
| Rapportages van ernstige ICT-gerelateerde incidenten (art. 19 lid 1 en art. 23) |
Template Let op: - Financiële instellingen binnen de reikwijdte van NIS2, dienen de incident melding ook te doen bij het NCSC (Lees op NCSC.nl meer over de NIS2-registratieplicht en de meldplicht). - Er gelden validatieregels, deze zijn hier te vinden. |
|
Vrijwillige melding van significante cyberdreigingen (art. 19 lid 2) |
Template Let op: Er gelden validatieregels, deze zijn hier te vinden.
|
|
Melding (geplande) contractuele regelingen inzake het gebruik van ICT-diensten die kritieke of belangrijke functies ondersteunen (art. 28 lid 3, 5de paragraaf) |
Melden via: Mijn DNB – Melding uitbesteding/gebruik ICT-diensten. |
|
Melding van start of beëindiging van deelname in een vertrouwensgemeenschap (art. 45 lid 3) |
Template
|
Rapportages op verzoek van DNB, bijvoorbeeld het informatieregister of de uitwisseling van bestanden ten behoeve van TLPT kennen een ander karakter. Als DNB deze opvraagt, zal DNB tegelijkertijd aangegeven hoe DNB deze verwacht te ontvangen.
Nieuwsberichten
- DORA: uitvraag DORA informatieregister in maart 2026
- Uitvraag DORA informatieregister 1ste kwartaal 2026
- Vragenlijst SBA-Cyberweerbaarheid voor de pensioen- en verzekeringssector gepubliceerd
- DORA-seminars voor de pensioen- en verzekeringssector in september 2025
- Resultaten sectorbrede uitvraag naar DORA-implementatie
- DORA: status uitvraag informatieregister
- Aanlevering DORA informatieregister
- DORA: uitvraag DORA informatieregister in april 2025
- DORA: het toezicht van DNB per 17 januari 2025
- DNB DORA-seminars oktober 2024
- DORA: voorlopig format en proces voor het rapporteren van het informatieregister
- Voorbereiding op DORA: vergroten van de digitale weerbaarheid
- DORA: uitnodiging voor ‘dry run’ ter voorbereiding op rapportering informatieregister
- DORA: 17 januari 2025 nadert sneller dan u denkt
FAQ Uitvraag informatieregister 2026
- Conversie: Wanneer u gebruik maakt van het Excel-template, is het belangrijk dat u de volgorde van de tabbladen niet aanpast. Wanneer u tabbladen toevoegt, verwijdert of verplaatst, zal dit tot fouten in de conversie leiden.
- Kolom Link: Op de tabbladen B_02.03, B_03.01 en B_03.03 is de kolom ‘link’ opgenomen. Deze kolom vormt geen onderdeel van de technische standaard, maar is cruciaal voor de conversie naar xBRL-CSV. Hier dient telkens de waarde true (in kleine letters) ingevuld te worden.
- Recipient of the subcontracted services (variabele B_05.02.0060): Op het tabblad B_05.02 dient in kolom D de identificatiecode ingevuld te worden van de ontvanger van ICT-diensten van een onderaannemer. Zie ook FAQ 65.
- Licenced activity (variabele B_06.01.0020): Op het tabblad B_06.01 is de kolom ‘licenced activity’ opgenomen. De dropdown toont de verschillende mogelijkheden in lijn met de rapportagestandaard van de ESA’s. Indien u activiteiten onderneemt die vallen onder de Solvency II schadeverzekeringsbranches diverse geldelijke verliezen, rechtsbijstand, of hulpverlening, dient u voor deze activiteiten gebruik te maken van Non-Life Insurance: All classes, at the choice of the Member States, which shall notify the other Member States and the Commission of their choice.
- Een uitgebreider overzicht: een vollediger overzicht van aandachtspunten kunt u hier vinden.
Een overzicht van aandachtspunten kunt u hier vinden.
Indien uw pensioenfonds de uitvoering van (delen van) de pensioenadministratie heeft uitbesteed aan een pensioenuitvoeringsorganisatie (PUO), dient u de afgenomen ICT-diensten afzonderlijk op te nemen in het informatieregister.
Een geaggregeerde weergave onder één generieke noemer (functie) zoals “data-uitwisseling” biedt onvoldoende inzicht in de aard en reikwijdte van de uitbestede werkzaamheden en de onderliggende risico’s.
Wanneer u gebruik maakt van het Excel-template, is het belangrijk dat u de volgorde van de tabbladen niet aanpast. Wanneer u tabbladen toevoegt, verwijdert of verplaatst, zal dit tot fouten in de conversie leiden.
Elke Europese ICT-dienstverlener heeft in ieder geval een EUID. Het EUID kan bijvoorbeeld worden gevonden in het Europese register (link). Als de LEI of het EUID niet beschikbaar is voor de ICT-dienstverlener (omdat deze in een derde land is geregistreerd), dient alsnog een waarde ingevuld te worden. U kunt hiervoor een andere relevante identificatiecode gebruiken. Deze zal tijdens de datakwaliteitscontrole worden gemarkeerd, maar het bestand zal hierop niet worden afgewezen.
Het Excel-template bevat het tabblad “TOC”. Dit is een cruciaal tabblad voor de conversie naar xBRL-CSV. Hierop zijn verschillende variabelen te vinden.
- Period start: Deze datum dient op 2025-01-01 te worden gezet.
- Period end: Dit betreft de peildatum en dient daarom op 2025-12-31 te worden gezet.
- Identifier: U dient of op individueel of geconsolideerd niveau te rapporteren. Dit staat aangegeven in de naam van de verplichting. In dit veld vult u de LEI-code van de rapporterende financiële instelling in, met daarachter .IND of .CON voor respectievelijk een individuele of geconsolideerde aanlevering. Bijvoorbeeld: DUMMYLEI123456789012.CON voor geconsolideerd of DUMMYLEI123456789012.IND voor individueel.
- Scheme: De EBA schrijft voor dat hier https://eurofiling.info/eu/rs moet worden ingevuld. Dit veld is alvast zo ingevuld. Let op: het betreft geen werkende hyperlink, maar een schema ten behoeve van de EBA XBRL Filing Rules.
- Currency: Hier wordt de monetaire eenheid ingevuld die als default in de rapportage wordt aangehouden. In de meeste gevallen zal dit EUR zijn.
- Language: Dit is de taal van het template en staat standaard ingevuld op en. U hoeft hier niets mee te doen.
- Table of contents, cel D14 – 28: Via deze cellen geeft u aan of een tabel wel of niet gerapporteerd wordt. Omdat voor de rapportage van het informatieregister alle templates gerapporteerd dienen te worden, ook wanneer deze leeg zijn (bijv. formulier B_01.03 wanneer er geen branches zijn), dienen deze cellen allen op positive te staan.
Voor meer informatie hierover, zie de filing rules.
De uitvraag zal per maandag 2 maart 2026 beschikbaar zijn in MijnDNB (via de Dienst Rapportages).
DNB maakt gebruik van cookies
Om de gebruiksvriendelijkheid van onze website te optimaliseren, maken wij gebruik van cookies.
Lees meer over de cookies die wij gebruiken en de gegevens die we daarmee verzamelen in onze cookie-policy.