search_api_autocomplete
Home

Beheer, classificatie en melding van ICT-gerelateerde incidenten

DORA legt financiële entiteiten een reeks verplichtingen op in verband met het beheer van incidenten gerelateerd aan de informatie- en communicatietechnologie (ICT).

Die verplichtingen strekken ertoe de impact van ICT-gerelateerde incidenten te beperken, en de activiteiten op een veilige manier en zo snel mogelijk te hervatten.

De financiële entiteiten moeten daartoe voldoen aan vereisten inzake het beheer, de classificatie en de melding van ICT-gerelateerde incidenten.

  • 1. Welke vereisten gelden inzake het beheer van ICT-gerelateerde incidenten en cyberdreigingen? (art. 17 DORA)

    Om de effecten van de ICT-gerelateerde incidenten te beperken en de activiteiten zo snel mogelijk te hervatten, leggen de financiële entiteiten een beheerproces ten uitvoer om ICT-gerelateerde incidenten te detecteren, te beheren en te melden.

    Daartoe registreren ze alle ICT-gerelateerde incidenten en significante cyberdreigingen. Ze stellen daartoe procedures en processen vast voor een geïntegreerde monitoring, behandeling en follow-up. Ze zorgen er inzonderheid voor dat onderliggende oorzaken worden opgespoord, gedocumenteerd en weggenomen.

    Het beheer van ICT-gerelateerde incidenten omvat minstens de volgende elementen:

    • indicatoren voor vroegtijdige alerts;
    • procedures om ICT-gerelateerde incidenten te identificeren, op te volgen, te detecteren, te categoriseren en te classificeren;
    • functies en verantwoordelijkheden voor verschillende ICT-incidentscenario’s;
    • plannen voor communicatie met alle betrokken partijen;
    • melding van ICT-gerelateerde incidenten aan het leidinggevend orgaan (ten minste de ernstige incidenten);
    • responsprocedures voor ICT-gerelateerde incidenten.

    Tools

    De indicatoren voor vroegtijdige waarschuwing kunnen deel uitmaken van de volgende tools: Security Information and Event Management (SIEM) en Network Traffic Analysis.

  • 2. Wat zijn de vereisten inzake de classificatie van ICT-gerelateerde incidenten en cyberdreigingen? (art. 18 DORA)

    Voor de toepassing van het beheerproces en de naleving van de rapporteringsverplichtingen classificeren de financiële entiteiten de ICT-gerelateerde incidenten en de cyberdreigingen en bepalen ze hun impact.

    Technische reguleringsnormen

    Technische reguleringsnormen bevatten detailinformatie over de criteria en drempels die bepalend zijn voor de classificatie als ernstig incident.

    De financiële entiteiten classificeren de ICT-gerelateerde incidenten en bepalen hun impact rekening houdend met de volgende criteria:

    • aantal en/of relevantie van de getroffen klanten;
    • reputatieschade voor de entiteit;
    • duur van het incident (waaronder de uitvaltijd van de dienst);
    • geografische spreiding van de door het incident getroffen gebieden (met name als meer dan twee lidstaten zijn getroffen);
    • gegevensverliezen (beschikbaarheid, authenticiteit, integriteit en/of vertrouwelijkheid);
    • mate waarin de getroffen diensten als cruciaal kunnen worden aangemerkt;
    • (directe en indirecte) economische effecten.

    De financiële entiteiten classificeren cyberdreigingen als significant, rekening houdend met de volgende criteria:

    • mate van criticiteit van de diensten die risico lopen;
    • aantal en/of relevantie van de klanten die risico lopen;
    • geografische spreiding van de risicogebieden.
  • 3. Welke vereisten gelden inzake de rapportage van de incidenten en de cyberdreigingen? (art. 19 DORA)

    Na het verzamelen en analyseren van alle relevante informatie, rapporteren de financiële entiteiten de ernstige ICT-gerelateerde incidenten aan de FSMA. Die informatie stelt de FSMA in staat om de draagwijdte van het incident en de mogelijke grensoverschrijdende effecten ervan te bepalen, en om die informatie ter kennis te brengen van andere betrokken toezichthouders en instanties.

    Technische reguleringsnormen

    Technische reguleringsnormen bevatten detailinformatie over de rapportageverplichtingen inzake ernstige ICT-gerelateerde incidenten en belangrijke cyberdreigingen.

    De rapportage van ernstige ICT-gerelateerde incidenten omvat de volgende onderdelen:

    • eerste melding;
    • tussentijds verslag;
    • eindverslag.

    De financiële entiteiten sturen een tussentijds verslag zodra de status of de behandeling van het incident ingrijpend is gewijzigd, of op verzoek van de FSMA. 

    Het eindverslag bevat de analyse van de onderliggende oorzaken van het incident, alsook de cijfers met betrekking tot de werkelijke impact van het incident.

    Wanneer een ernstig ICT-gerelateerd incident gevolgen heeft voor de financiële belangen van klanten, stellen de financiële entiteiten hun klanten in kennis van dat incident en van de genomen maatregelen om de negatieve gevolgen ervan te beperken.

    De financiële entiteiten kunnen significante cyberdreigingen aan de FSMA melden. De FSMA kan die informatie, in voorkomend geval, aan de andere betrokken autoriteiten en instanties melden.

    Bij een significante cyberdreiging informeren de financiële entiteiten hun klanten die mogelijk zijn geïmpacteerd, over de beschermingsmaatregelen die ze zouden kunnen nemen.

    De financiële entiteiten kunnen de rapportageverplichtingen uitbesteden, maar blijven volledig verantwoordelijk voor het naleven van de DORA-vereisten. 

  • 4. Hoe kan u ernstige ICT-incidenten en cyberdreigingen rapporteren aan de FSMA?

    Consulteer deze handleiding voor het gebruik van de DORA_INCIDENT en DORA_CYBERTHREAT surveys in FiMiS.