Wetgeving Verordeningen 16/12/2024 Gedelegeerde Verordening (EU) 2025/420 met betrekking tot technische reguleringsnormen tot nadere bepaling van de criteria voor het bepalen van de samenstelling van het gezamenlijke onderzoeksteam in verband met een evenwichtige participatie van functionarissen van de ETA’s en van de bevoegde autoriteiten, alsmede van hun aanwijzing, hun taken en hun werkafspraken (DORA Art. 41(1)(c)) 29/11/2024 Uitvoeringsverordening (EU) 2024/2956 tot vaststelling van technische uitvoeringsnormen wat betreft standaardmodellen voor het informatieregister (DORA Art. 28.9) 24/10/2024 Gedelegeerde Verordening (EU) 2025/295 met betrekking tot technische reguleringsnormen voor de harmonisatie van de voorwaarden voor de uitoefening van de oversightactiviteiten (DORA Art. 41(a)(b)(d)) 23/10/2024 Uitvoeringsverordening (EU) 2025/302 tot vaststelling van technische uitvoeringsnormen met betrekking tot de door financiële entiteiten te gebruiken standaardformulieren en modellen en te volgen procedures voor de rapportage van een ernstig ICT-gerelateerd incident en voor de kennisgeving van een significante cyberdreiging (DORA Art. 20(b)) 23/10/2024 Gedelegeerde Verordening (EU) 2025/301 met betrekking tot technische reguleringsnormen voor de inhoud en termijnen van de eerste kennisgeving van en het tussentijdse en het eindverslag over ernstige ICT-gerelateerde incidenten en voor de inhoud van de vrijwillige kennisgeving van significante cyberdreigingen (DORA Art. 20(a)) 13/03/2024 Gedelegeerde Verordening (EU) 2024/1772 met betrekking tot technische reguleringsnormen tot nadere bepaling van de criteria voor de classificatie van ICT-gerelateerde incidenten en cyberdreigingen, tot vaststelling van materialiteitsdrempels en tot bepaling van de nadere informatie van verslagen over ernstige incidenten (DORA Art. 18.3) 13/03/2024 Gedelegeerde Verordening (EU) 2024/1773 betreffende technische reguleringsnormen tot bepaling van de gedetailleerde inhoud van het beleid met betrekking tot de contractuele overeenkomsten inzake het gebruik van door derde aanbieders verleende ICT-diensten die kritieke of belangrijke functies ondersteunen (DORA Art. 28.10) 13/03/2024 Gedelegeerde Verordening (EU) 2024/1774 met betrekking tot technische reguleringsnormen tot vaststelling van tools, methoden, processen en beleidslijnen voor ICT-risicobeheersing en het vereenvoudigde raamwerk voor ICT-risicobeheersing (DORA Art. 15 en 16) 22/02/2024 Gedelegeerde Verordening (EU) 2024/1505 met betrekking tot de vaststelling van het bedrag van de door de lead overseer aan kritieke derde aanbieders van ICT-diensten aan te rekenen oversightvergoedingen en de wijze waarop die vergoedingen moeten worden betaald (DORA Art. 43.2) 22/02/2024 Gedelegeerde Verordening (EU) 2024/1502 met betrekking tot de nadere bepaling van de criteria om derde aanbieders van ICT-diensten als kritiek voor financiële entiteiten aan te wijzen (DORA Art. 31.8) 14/12/2022 Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 Circulaires, mededelingen en praktijkgids Mededelingen 05/03/2025 FSMA_2025_02 Mededeling over het DORA-informatieregister(pdf - 1.05 MB) Files Mededeling over het DORA-informatieregister (pdf - 1.05 MB) 17/01/2025 FSMA_2025_01 Een tweede survey van de FSMA toont aan dat financiële entiteiten nog inspanningen moeten leveren om te voldoen aan de verwachtingen van DORA(pdf - 877.55 KB) Files Een tweede survey van de FSMA toont aan dat financiële entiteiten nog inspanningen moeten leveren om te voldoen aan de verwachtingen van DORA (pdf - 877.55 KB) Vragen en antwoorden (FAQ) Wat is het doel van de DORA-verordening? ICT-risicobeheer Beheer, classificatie en melding van ICT-gerelateerde incidenten 1. Welke vereisten gelden inzake het beheer van ICT-gerelateerde incidenten en cyberdreigingen? (art. 17 DORA) 2. Wat zijn de vereisten inzake de classificatie van ICT-gerelateerde incidenten en cyberdreigingen? (art. 18 DORA) 3. Welke vereisten gelden inzake de rapportage van de incidenten en de cyberdreigingen? (art. 19 DORA) 4. Hoe kan u ernstige ICT-incidenten en cyberdreigingen rapporteren aan de FSMA? Tests van digitale operationele weerbaarheid 1. Welke algemene vereisten gelden voor de uitvoering van tests op digitale operationele weerbaarheid door de (andere) financiële entiteiten (dan micro-ondernemingen)? 2. Welke tests moeten de financiële entiteiten uitvoeren op het vlak van de aan ICT-diensten verbonden risico’s? 3. Welke entiteiten moeten geavanceerde dreigingsgestuurde penetratietests (threat-led penetration tests) uitvoeren? Beheer van de risico’s verbonden aan derde aanbieders van ICT-diensten 1. Wat zijn de kernbeginselen voor een deugdelijk beheer van de risico’s die verbonden zijn aan derde aanbieders van ICT-diensten? 2. Welke strategie moet worden vastgesteld inzake ICT-risico’s van derde aanbieders van ICT-diensten? 3. Hoe moeten de contractuele overeenkomsten met derde aanbieders van ICT-diensten worden gedocumenteerd? 4. Wat moeten financiële entiteiten doen alvorens ze een contractuele overeenkomst sluiten met een derde aanbieder van ICT-diensten? 5. Hoe kiezen financiële entiteiten hun derde aanbieder(s) van ICT-diensten? 6. Hoe en hoe vaak controleren de financiële entiteiten hun aanbieder(s) van ICT-diensten? 7. In welke gevallen voorzien financiële entiteiten in een exitstrategie? 8. Hoe moeten de financiële entiteiten een exitstrategie invoeren? 9. Hoe beoordelen financiële entiteiten vooraf een ICT-concentratierisico op het niveau van de entiteit? 10. Welke beginselen moeten de financiële entiteiten naleven in verband met de ICT-diensten die kritieke of belangrijke functies ondersteunen? 11. Hoe moeten de respectieve rechten en plichten van de financiële entiteit en van de derde aanbieder van ICT-diensten worden vastgesteld? 12. Welke contractuele bepalingen moeten steeds aan bod komen in de contractuele overeenkomsten? 13. Welke contractuele bepalingen moeten steeds aan bod komen in de contractuele overeenkomsten inzake het gebruik van ICT-diensten die kritieke of belangrijke functies ondersteunen? 14. Hoe moeten de financiële entiteiten zorgen voor de monitoring van de overeenkomsten met derde aanbieders van ICT-diensten (korte samenvatting)?
