DORA legt financiële entiteiten een reeks verplichtingen op in verband met het beheer van incidenten gerelateerd aan de informatie- en communicatietechnologie (ICT).
Die verplichtingen strekken ertoe de impact van ICT-gerelateerde incidenten te beperken, en de activiteiten op een veilige manier en zo snel mogelijk te hervatten.
De financiële entiteiten moeten daartoe voldoen aan vereisten inzake het beheer, de classificatie en de melding van ICT-gerelateerde incidenten.
Om de effecten van de ICT-gerelateerde incidenten te beperken en de activiteiten zo snel mogelijk te hervatten, leggen de financiële entiteiten een beheerproces ten uitvoer om ICT-gerelateerde incidenten te detecteren, te beheren en te melden.
Daartoe registreren ze alle ICT-gerelateerde incidenten en significante cyberdreigingen. Ze stellen daartoe procedures en processen vast voor een geïntegreerde monitoring, behandeling en follow-up. Ze zorgen er inzonderheid voor dat onderliggende oorzaken worden opgespoord, gedocumenteerd en weggenomen.
Het beheer van ICT-gerelateerde incidenten omvat minstens de volgende elementen:
De indicatoren voor vroegtijdige waarschuwing kunnen deel uitmaken van de volgende tools: Security Information and Event Management (SIEM) en Network Traffic Analysis.
Voor de toepassing van het beheerproces en de naleving van de rapporteringsverplichtingen classificeren de financiële entiteiten de ICT-gerelateerde incidenten en de cyberdreigingen en bepalen ze hun impact.
Technische reguleringsnormen bevatten detailinformatie over de criteria en drempels die bepalend zijn voor de classificatie als ernstig incident.
De financiële entiteiten classificeren de ICT-gerelateerde incidenten en bepalen hun impact rekening houdend met de volgende criteria:
De financiële entiteiten classificeren cyberdreigingen als significant, rekening houdend met de volgende criteria:
Na het verzamelen en analyseren van alle relevante informatie, rapporteren de financiële entiteiten de ernstige ICT-gerelateerde incidenten aan de FSMA. Die informatie stelt de FSMA in staat om de draagwijdte van het incident en de mogelijke grensoverschrijdende effecten ervan te bepalen, en om die informatie ter kennis te brengen van andere betrokken toezichthouders en instanties.
Technische normen (RTS 2025/301 en ITS 2025/302) bevatten detailinformatie over de rapportageverplichtingen inzake ernstige ICT-gerelateerde incidenten en belangrijke cyberdreigingen.
De rapportage van ernstige ICT-gerelateerde incidenten omvat de volgende onderdelen:
De financiële entiteiten sturen een tussentijds verslag zodra de status of de behandeling van het incident ingrijpend is gewijzigd, of op verzoek van de FSMA.
Het eindverslag bevat de analyse van de onderliggende oorzaken van het incident, alsook de cijfers met betrekking tot de werkelijke impact van het incident.
Wanneer een ernstig ICT-gerelateerd incident gevolgen heeft voor de financiële belangen van klanten, stellen de financiële entiteiten hun klanten in kennis van dat incident en van de genomen maatregelen om de negatieve gevolgen ervan te beperken.
De financiële entiteiten kunnen significante cyberdreigingen aan de FSMA melden. De FSMA kan die informatie, in voorkomend geval, aan de andere betrokken autoriteiten en instanties melden.
Bij een significante cyberdreiging informeren de financiële entiteiten hun klanten die mogelijk zijn geïmpacteerd, over de beschermingsmaatregelen die ze zouden kunnen nemen.
De financiële entiteiten kunnen de rapportageverplichtingen uitbesteden, maar blijven volledig verantwoordelijk voor het naleven van de DORA-vereisten.
De DORA-verordening verplicht financiële entiteiten om ernstige ICT-gerelateerde incidenten te melden aan de FSMA.
Gaat het om significante cyberdreigingen, dan laat de DORA-verordening de financiële entiteiten de keuze om die, op vrijwillige basis, te melden aan de FSMA wanneer zij van oordeel zijn dat ze relevant zijn voor het financiële stelsel, de gebruikers van diensten of de cliënten.
Merk evenwel op dat financiële entiteiten onder toezicht van de Nationale Bank van België (zoals kredietinstellingen) ernstige incidenten en significante Elke potentiële omstandigheid, gebeurtenis of actie die netwerk- en informatiesystemen, de gebruikers van dergelijke systemen en andere personen kan schaden, verstoren of op andere wijze negatief kan beïnvloeden enkel aan haar moeten melden. Ze hoeven ze niet te melden aan de FSMA, ook al staan ze op individueel niveau eveneens onder toezicht van de FSMA (bijvoorbeeld omdat ze de hoedanigheid hebben van verzekeringstussenpersoon of crowdfundingdienstverlener).
Raadpleeg hiervoor onze DORA-praktijkgids voor het melden van ernstige incidenten en significante cyberdreigingen.
De FSMA staat erop dat elke financiële entiteit een melding verricht wanneer een incident beantwoordt aan de classificatiecriteria. Incidenten waarbij verschillende financiële entiteiten betrokken zijn, mogen dus niet worden gebundeld in eenzelfde melding aan de FSMA.