Professionele handen plaatsen een incidentrapport in een archiefsysteem, beveiligingspaneel met rood indicatielampje op achtergrond

Wat zijn de verplichtingen voor incidentmelding onder DORA?

in

Onder DORA moeten financiële instellingen ernstige ICT-gerelateerde incidenten melden aan de bevoegde toezichthouder via een gestructureerd, driefasig proces. De initiële melding moet binnen 24 uur plaatsvinden, gevolgd door een tussentijdse rapportage binnen 72 uur en een eindrapportage binnen één maand. Deze meldingsplicht geldt voor incidenten die kritieke diensten verstoren, grote aantallen klanten treffen of significante economische impact hebben. Hieronder vind je antwoorden op de belangrijkste vragen over DORA-incidentmelding.

Wat houdt de incidentmeldingsplicht onder DORA precies in?

De Digital Operational Resilience Act (DORA) verplicht financiële instellingen om ernstige ICT-gerelateerde incidenten te melden bij hun bevoegde toezichthouder. Een ernstig ICT-gerelateerd incident is een verstoring die aanzienlijke negatieve gevolgen heeft voor de digitale operationele weerbaarheid van de organisatie. Deze meldingsplicht is vastgelegd in artikel 19 van DORA en geldt voor banken, verzekeraars, beleggingsondernemingen, betaaldienstverleners en hun kritieke IT-dienstverleners.

Het verschil met bestaande meldplichten, zoals de AVG, is significant. Waar de AVG zich richt op datalekken die persoonsgegevens betreffen, focust DORA specifiek op operationele verstoringen van ICT-systemen binnen de financiële sector. DORA erkent dat financiële instellingen vaak afhankelijk zijn van externe IT-dienstverleners en dat deze leveranciers daarom ook een rol spelen in de digitale weerbaarheid van de sector.

De Europese wetgever heeft DORA geïntroduceerd omdat de financiële sector bijzonder kwetsbaar is voor cyberaanvallen en ICT-verstoringen. Een uniform regelgevingskader in de EU vermindert versnippering en dubbele regels door heldere, uniforme eisen in heel Europa te stellen.

Welke ICT-incidenten moet je onder DORA melden?

Niet elk ICT-incident valt onder de meldingsplicht. DORA hanteert specifieke classificatiecriteria om te bepalen of een incident als ernstig kwalificeert. De beoordeling vindt plaats op basis van meerdere factoren die samen het totaalbeeld vormen.

De belangrijkste classificatiecriteria zijn:

  • Impact op kritieke diensten: verstoort het incident diensten die essentieel zijn voor klanten of de financiële markt?
  • Aantal getroffen klanten: hoeveel klanten ondervinden directe gevolgen van het incident?
  • Geografische spreiding: raakt het incident meerdere lidstaten of regio’s?
  • Duur van de verstoring: hoe lang duurt de onderbreking van dienstverlening?
  • Economische impact: wat zijn de directe en indirecte financiële gevolgen?
  • Reputatieschade: leidt het incident tot significante schade aan het vertrouwen in de organisatie?

Naast ernstige incidenten kent DORA ook de categorie significante cyberdreigingen. Dit zijn dreigingen die nog niet tot een incident hebben geleid, maar wel het potentieel hebben om ernstige schade te veroorzaken. Organisaties moeten een incidentmanagementproces implementeren dat detectie, beheer en rapportage van ICT-incidenten omvat, inclusief detectie en monitoring van cyberdreigingen en anomalieën.

Binnen welke termijnen moet je een incident melden onder DORA?

DORA schrijft een driefasig meldingsproces voor met strikte termijnen. Elke fase heeft een specifiek doel en vereist andere informatie. Het naleven van deze termijnen is essentieel voor compliance.

Fase 1: initiële melding binnen 24 uur
Binnen 72 uur na de initiële melding volgt een uitgebreidere rapportage. Hierin geef je een update over de status, de genomen maatregelen en een verfijnde impactanalyse. Als de situatie significant wijzigt, kunnen aanvullende tussentijdse meldingen vereist zijn.

Fase 3: eindrapportage binnen één maand
Uiterlijk één maand na het incident lever je een volledige eindrapportage op. Deze bevat de rootcauseanalyse, alle getroffen maatregelen, de totale impact en de lessen die zijn geleerd voor toekomstige preventie.

Hoe ziet het DORA-incidentmeldingsproces er stap voor stap uit?

Een effectief incidentmeldingsproces begint lang voordat een incident plaatsvindt. Organisaties moeten duidelijke rollen en verantwoordelijkheden toewijzen voor verschillende incidentscenario’s en contactlijsten opstellen met interne functies en externe stakeholders die betrokken zijn bij ICT-operaties en beveiliging.

Het volledige proces verloopt als volgt:

  1. Detectie: het incident wordt geïdentificeerd via monitoring, meldingen van medewerkers of externe signalen.
  2. Classificatie: beoordeel of het incident voldoet aan de criteria voor een ernstig ICT-incident.
  3. Interne escalatie: informeer de verantwoordelijke personen volgens de escalatieprocedure.
  4. Documentatie: leg alle relevante informatie vast voor de melding en latere analyse.
  5. Initiële melding: dien binnen 24 uur de eerste melding in bij de toezichthouder.
  6. Incidentrespons: voer maatregelen uit om de impact te beperken en diensten te herstellen.
  7. Stakeholdercommunicatie: informeer getroffen klanten en andere relevante partijen.
  8. Tussentijdse rapportage: lever binnen 72 uur de uitgebreide statusupdate.
  9. Rootcauseanalyse: onderzoek de onderliggende oorzaak van het incident.
  10. Eindrapportage: dien binnen één maand het volledige rapport in.

Wat zijn de gevolgen als je niet voldoet aan de DORA-meldingsplicht?

Niet-naleving van de DORA-meldingsplicht kan serieuze consequenties hebben. Toezichthouders zoals De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) hebben handhavingsbevoegdheden gekregen om compliance af te dwingen.

De mogelijke gevolgen omvatten:

  • Administratieve boetes: toezichthouders kunnen aanzienlijke boetes opleggen bij niet-naleving.
  • Aanvullende toezichtmaatregelen: verscherpt toezicht of aanwijzingen om processen te verbeteren.
  • Reputatieschade: publieke bekendmaking van overtredingen kan het vertrouwen van klanten schaden.
  • Bestuurlijke aansprakelijkheid: bestuurders kunnen persoonlijk verantwoordelijk worden gehouden.

DORA vraagt om aantoonbaarheid, niet alleen om beleid. Het gaat erom dat je kunt laten zien dat je in control bent. Een assuranceverklaring, bijvoorbeeld op basis van ISAE 3000, kan een manier zijn om naleving aantoonbaar te maken richting toezichthouders en ketenpartners.

Hoe bereid je jouw organisatie voor op DORA-incidentmelding?

Een gedegen voorbereiding is essentieel om tijdig en correct te kunnen melden wanneer zich een incident voordoet. Veel organisaties denken DORA wel op orde te hebben, maar worstelen juist met details en aantoonbaarheid. Een nulmeting is een logisch startpunt om vast te stellen of DORA daadwerkelijk is geïmplementeerd.

Concrete voorbereidingsstappen zijn:

  • Detectiesystemen opzetten: implementeer monitoring voor anomalieën, cyberdreigingen en kwetsbaarheden.
  • Incidentresponsprocedures ontwikkelen: documenteer het volledige proces van detectie tot eindrapportage.
  • Verantwoordelijken aanwijzen: bepaal wie welke rol heeft bij verschillende incidentscenario’s.
  • Contactlijsten opstellen: zorg voor actuele contactgegevens van interne en externe stakeholders.
  • Personeel trainen: zorg dat medewerkers weten hoe ze incidenten herkennen en melden.
  • Meldingsprocessen testen: oefen regelmatig met simulaties om knelpunten te identificeren.
  • Documentatie op orde brengen: zorg dat alle processen aantoonbaar zijn vastgelegd.

DORA is primair een governance- en organisatievraagstuk, niet alleen een IT-thema. Bestuurlijke verantwoordelijkheid en de inrichting van de second line zijn cruciaal voor succesvolle implementatie.

Hoe helpt Hoek en Blok IT bij DORA-incidentmelding?

Hoek en Blok IT ondersteunt organisaties bij het opzetten en implementeren van DORA-compliant incidentmeldingsprocessen. Met een pragmatische aanpak helpen de NOREA-gecertificeerde EDP-auditors bij het vertalen van de complexe DORA-vereisten naar werkbare processen voor jouw organisatie.

De specifieke diensten omvatten:

  • Nulmeting en gap-analyse: beoordeling van de huidige situatie ten opzichte van de DORA-vereisten.
  • Incidentmeldingsprocedures: ontwikkeling van procedures die voldoen aan de driefasige meldingsstructuur.
  • Security-assessments: verbetering van de detectiecapaciteit door penetratietests en vulnerability assessments.
  • IT Security Officer as a Service: doorlopende ondersteuning bij compliance en incidentmanagement.
  • Classificatiebegeleiding: ondersteuning bij het beoordelen of incidenten meldingsplichtig zijn.
  • Assuranceverklaringen: ISAE 3000-verklaringen om naleving aantoonbaar te maken.

Wil je weten hoe jouw organisatie ervoor staat op het gebied van DORA-incidentmelding? Neem contact op met Hoek en Blok IT voor een vrijblijvend gesprek over de mogelijkheden.