Beveiligingsmedewerker plaatst rode noodalarmknop op regelgevingsdocumenten naast tablet met financiële grafieken

Welke incidenten moet je melden onder DORA?

in

Onder DORA moet je ernstige ICT-incidenten melden bij de toezichthouder wanneer deze voldoen aan specifieke classificatiecriteria. Dit geldt voor cyberaanvallen, systeemstoringen en datalekken die een significante impact hebben op je dienstverlening of klanten. De meldplicht kent strikte termijnen: een initiële melding binnen 24 uur, gevolgd door tussentijdse en eindrapportages. In dit artikel beantwoorden we de belangrijkste vragen over de DORA-incidentmelding.

Wat is de DORA-meldplicht voor ICT-incidenten?

De DORA-meldplicht verplicht financiële instellingen om ernstige ICT-incidenten te rapporteren aan de bevoegde toezichthouder. Deze verplichting vloeit voort uit de Digital Operational Resilience Act, die sinds januari 2023 van kracht is en per 17 januari 2025 volledig moet worden nageleefd. Het doel is om toezichthouders snel inzicht te geven in cyberdreigingen en operationele verstoringen binnen de financiële sector.

De meldplicht geldt voor een breed scala aan organisaties: banken, verzekeraars, beleggingsondernemingen, betalingsinstellingen en beheerders van beleggingsfondsen. Ook kritieke derde dienstverleners, zoals cloudproviders en datacenters die IT-diensten leveren aan financiële instellingen, vallen onder bepaalde DORA-vereisten.

Het verschil met de AVG/GDPR-meldplicht is wezenlijk. Waar de AVG zich richt op de bescherming van persoonsgegevens, focust DORA op de operationele weerbaarheid van de financiële sector. Een datalek kan dus onder beide regelgevingen meldplichtig zijn, maar met verschillende toezichthouders, termijnen en rapportage-eisen. DORA kijkt breder naar ICT-verstoringen die de bedrijfscontinuïteit raken, ongeacht of er persoonsgegevens bij betrokken zijn.

Welke ICT-incidenten zijn meldplichtig onder DORA?

Een ICT-incident is meldplichtig onder DORA wanneer het als ‘ernstig’ wordt geclassificeerd op basis van zes vastgestelde criteria. Niet elk incident hoeft gemeld te worden; alleen incidenten die een bepaalde drempelwaarde overschrijden op een of meer criteria.

De zes classificatiecriteria zijn:

  • Aantal getroffen klanten of financiële tegenpartijen
  • Duur van het incident en de tijd tot herstel
  • Geografische spreiding van de impact
  • Dataverlies met betrekking tot beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid
  • Kritieke diensten die worden geraakt
  • Economische impact in directe en indirecte kosten

Voorbeelden van typisch meldplichtige incidenten zijn grootschalige ransomwareaanvallen die systemen platleggen, DDoS-aanvallen op kritieke betaalsystemen en datalekken waarbij gevoelige klantgegevens zijn gecompromitteerd. Ook langdurige systeemstoringen die klanten verhinderen om financiële transacties uit te voeren, vallen hier vaak onder.

Binnen welke termijn moet je een DORA-incident melden?

DORA hanteert een driefasig meldingsproces met strikte termijnen. De klok begint te tikken zodra je het incident als ernstig hebt geclassificeerd, niet pas wanneer je alle details kent. Dit vraagt om snelle besluitvorming en heldere interne procedures.

Het meldingsproces verloopt als volgt:

  • Initiële melding binnen 24 uur: basisinformatie over het incident, de eerste inschatting van de impact en de genomen noodmaatregelen.
  • Tussentijdse rapportage binnen 72 uur: gedetailleerder overzicht van de oorzaak, de voortgang van het herstel en eventuele aanvullende maatregelen.
  • Eindrapportage binnen één maand: volledige analyse van het incident, de root cause, de totale impact en de structurele verbetermaatregelen om herhaling te voorkomen.

Bij voortdurende incidenten of nieuwe ontwikkelingen kunnen tussentijdse updates nodig zijn. De toezichthouder kan ook om aanvullende informatie vragen gedurende het proces.

Bij welke toezichthouder meld je een ICT-incident onder DORA?

In Nederland zijn De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) de relevante toezichthouders voor DORA. Welke toezichthouder bevoegd is, hangt af van het type financiële instelling en de vergunning waaronder je opereert.

DNB houdt toezicht op onder meer banken, verzekeraars en pensioenfondsen. De AFM is toezichthouder voor beleggingsondernemingen, beheerders van beleggingsfondsen en bepaalde financiële dienstverleners. Bij twijfel over de juiste toezichthouder is het raadzaam om vooraf duidelijkheid te verkrijgen.

De meldingsprocedure verloopt via een centraal meldpunt dat de toezichthouders inrichten. Op Europees niveau werken nationale toezichthouders samen met de Europese toezichthoudende autoriteiten (EBA, EIOPA, ESMA) om een gecoördineerd beeld van cyberdreigingen in de financiële sector te krijgen. Dit draagt bij aan het uniforme beschermingsniveau dat DORA binnen de EU beoogt.

Hoe classificeer je een ICT-incident volgens DORA-criteria?

De classificatie van een ICT-incident vereist een systematische beoordeling aan de hand van de zes criteria. Elk criterium kent drempelwaarden die bepalen of het incident als ernstig kwalificeert. Wanneer een incident op minimaal één criterium de drempel overschrijdt, is melding verplicht.

Praktische stappen voor classificatie:

  • Breng direct de scope van het incident in kaart: welke systemen, diensten en klanten zijn geraakt?
  • Schat de duur in: hoe lang duurt de verstoring en wat is de verwachte hersteltijd?
  • Beoordeel de geografische impact: zijn meerdere landen of regio’s betrokken?
  • Analyseer mogelijk dataverlies: is de integriteit, beschikbaarheid of vertrouwelijkheid van data aangetast?
  • Bepaal de economische gevolgen: wat zijn de directe kosten en de potentiële vervolgschade?

Het opzetten van een intern classificatieproces is essentieel. Documenteer de beoordelingscriteria, wijs verantwoordelijkheden toe en zorg dat medewerkers getraind zijn om snel en consistent te classificeren. Dit voorkomt discussies onder tijdsdruk en zorgt voor aantoonbare compliance.

Wat zijn de gevolgen van het niet melden van een DORA-incident?

Het niet of te laat melden van een meldplichtig incident kan leiden tot handhavingsmaatregelen door de toezichthouder. Deze variëren van formele waarschuwingen tot boetes en aanvullende toezichtmaatregelen. De exacte sancties zijn afhankelijk van de ernst van de overtreding en de omstandigheden.

Naast formele sancties zijn er operationele en reputatierisico’s. Een organisatie die incidenten niet tijdig meldt, verliest het vertrouwen van de toezichthouder. Dit kan leiden tot intensiever toezicht en meer rapportageverplichtingen. Bovendien kan het nalaten van melding bij een later bekend wordend incident de reputatieschade vergroten.

Een proactieve meldcultuur is daarom waardevol. Organisaties die transparant communiceren over incidenten en actief werken aan verbetering, bouwen een constructieve relatie met de toezichthouder op. DORA vraagt niet alleen om beleid, maar om aantoonbaarheid: hoe laat je zien dat je in control bent?

Hoe bereid je je organisatie voor op DORA-incidentmelding?

Een effectief incidentmeldingsproces begint met duidelijke procedures en getrainde medewerkers. De voorbereiding vraagt om een combinatie van organisatorische, technische en menselijke maatregelen.

Praktische voorbereidingsstappen:

  • Stel een incidentresponsplan op met duidelijke escalatielijnen en verantwoordelijkheden.
  • Implementeer detectiesystemen die afwijkingen en potentiële incidenten tijdig signaleren.
  • Richt een classificatieproces in met heldere criteria en beslisbomen.
  • Train medewerkers in het herkennen, melden en afhandelen van incidenten.
  • Oefen regelmatig met incidentscenario’s om de procedures te testen.
  • Documenteer alle processen, zodat je aantoonbaar kunt maken dat je aan DORA voldoet.

Een nulmeting is een logisch startpunt om vast te stellen waar je organisatie staat. Veel organisaties denken DORA wel op orde te hebben, maar worstelen juist met details en aantoonbaarheid. Bestuurlijke verantwoordelijkheid en een goed ingerichte second line zijn cruciaal voor een succesvolle implementatie.

Hoe helpt Hoek en Blok IT bij DORA-incidentmelding?

Hoek en Blok IT ondersteunt organisaties bij het inrichten van een effectief, DORA-compliant incidentmeldingsproces. Met een pragmatische aanpak en ervaring in IT-audits en securityassessments helpen zij bij zowel de technische als de organisatorische aspecten van DORA-compliance.

Specifieke dienstverlening omvat:

  • Ondersteuning bij het opzetten van incidentmeldingsprocedures en classificatieprocessen
  • IT-securityassessments om kwetsbaarheden te identificeren voordat ze tot incidenten leiden
  • Penetratietests conform DORA-vereisten voor regelmatige weerbaarheidstesten
  • IT Security Officer as a Service voor organisaties die geen fulltime specialist in dienst hebben
  • Begeleiding bij ISAE 3000-verklaringen om DORA-naleving aantoonbaar te maken
  • Nulmetingen om vast te stellen of DORA daadwerkelijk is geïmplementeerd

Wil je weten hoe jouw organisatie ervoor staat op het gebied van DORA-incidentmelding? Neem contact op met Hoek en Blok IT voor een vrijblijvend adviesgesprek over de mogelijkheden.

Top 5 NIS2 compliance fouten die je moet vermijdenGebarsten digitaal beveiligingsslot op mahonie bureau tussen compliance-documenten en rode waarschuwingsstempelsHanden van beveiligingsauditor houden compliance-checklist vast, laptop met netwerkdiagrammen op vergadertafel, stempel en penWat is een NIS2 security assessment?