Op 17 januari 2025 is de verordening over de digitale operationele weerbaarheid van de financiële sector (DORA) officieel in werking getreden.
De Autoriteit voor Financiële Diensten en Markten (FSMA) grijpt deze gelegenheid aan om toelichting te verstrekken bij de verplichtingen voor financiële entiteiten aangaande de inzameling van het informatieregister over derde aanbieders van ICT-diensten en de melding van ernstige ICT-incidenten.
In deze mededeling wordt nader ingegaan op het toepassingsgebied en de praktische regels voor de naleving van deze verplichtingen.
De hiernavolgende informatie kan in de toekomst verder aangevuld of nader gepreciseerd indien de geldende wettelijke omkadering wijzigt of op grond van ervaring met de toepassing van de verordening.
De DORA-verordening verplicht de financiële entiteiten om een register bij te houden en te actualiseren met informatie over alle contractuele overeenkomsten inzake het gebruik van ICT-diensten die door derde aanbieders van ICT-diensten worden geleverd.
Conform artikel 28, lid 3, alinea 4, van de DORA-verordening, kan de FSMA de financiële entiteiten vragen om haar hun volledige informatieregister of desgevraagd specifieke onderdelen daarvan ter beschikking te stellen, samen met alle informatie die noodzakelijk wordt geacht om doeltreffend toezicht op de financiële entiteit mogelijk te maken.
Naar aanleiding van een recente beslissing van de Europese toezichthoudende autoriteiten, is de FSMA verplicht om het volledige informatieregister van de aan haar toezicht onderworpen financiële entiteiten op te vragen, en om die informatieregisters uiterlijk op 30 april 2025 aan die autoriteiten te bezorgen. Doelstelling van de informatie-inzameling is de Europese toezichthoudende autoriteiten in staat te stellen de kritieke derde aanbieders van ICT-diensten aan te duiden, die onderworpen zullen worden aan hun toezicht.
Door hun volledige register aldus ter beschikking te stellen van de FSMA conformeren de financiële entiteiten zich tezelfdertijd aan artikel 28, lid 3 van de DORA-verordening dat het volgende stelt:
‘Financiële entiteiten rapporteren ten minste jaarlijks aan de bevoegde autoriteiten over het aantal nieuwe overeenkomsten inzake het gebruik van ICT-diensten, de categorieën van derde aanbieders van ICT-diensten, het soort contractuele overeenkomsten en de ICT-diensten en -functies die worden geleverd’.
De financiële entiteiten die onder de toepassing van DORA vallen, moeten hun volledige informatieregister ter beschikking stellen van de FSMA, rekening houdend met volgende punten:
Het toepassingsgebied, de inhoud en het formaat van het informatieregister worden in detail toegelicht in Uitvoeringsvorderordening (EU) 2024/2956 van de Commissie.
Het informatieregister moet uiterlijk op 10 april 2025 ter beschikking worden gesteld van de FSMA.
De FSMA krijgt de informatieregisters op haar platform FiMIS. Zodra FiMIS wordt opengesteld, zal de FSMA hierover berichten, conform de instructies die nog moeten worden gepubliceerd door de Europese toezichthoudende autoriteiten.
De rapporteringsmodule die ontwikkeld zal worden door de FSMA zal het mogelijk maken om zowel (i) de betrokken gegevens onmiddellijk in te voeren (data-entry), als (ii) een bestand op te laden in het formaat dat voorzien wordt door de Europese toezichthoudende autoriteiten(CSV file with filling indicators and technical Json files in one zipfile). Dit rapporteringsformaat is hetzelfde als hetgeen reeds gebruikt werd door de financiële instellingen die hebben deelgenomen aan de dry run georganiseerd in 2024. Het dient evenwel vermeld te worden dat de Europese toezichthoudende autoriteiten bij die gelegenheid een Excel-to-csv conversion tool en een Excel Template ter beschikking hebben gesteld, wat nu niet meer het geval zal zijn.
De DORA-verordening verplicht financiële entiteiten om ernstige ICT-gerelateerde incidenten te melden aan de FSMA.
Gaat het om significante cyberdreigingen, dan laat de DORA-verordening de financiële entiteiten de keuze om die, op vrijwillige basis, te melden aan de FSMA wanneer zij van oordeel zijn dat ze relevant zijn voor het financiële stelsel, de gebruikers van diensten of de cliënten.
Merk evenwel op dat financiële entiteiten onder toezicht van de Nationale Bank van België (zoals kredietinstellingen) ernstige incidenten en significante cyberdreigingen enkel aan haar moeten melden. Ze hoeven ze niet te melden aan de FSMA, ook al staan ze op individueel niveau eveneens onder toezicht van de FSMA (bijvoorbeeld omdat ze de hoedanigheid hebben van verzekeringstussenpersoon of crowdfundingdienstverlener).
De classificatiecriteria en de materialiteitsdrempels die voor meldingen gehanteerd moeten worden, zijn vastgelegd in Gedelegeerde Verordening (EU) 2024/1772.
De precieze inhoud van de meldingen, de termijn waarbinnen ze moeten worden verricht, de procedures die daarbij gevolgd moeten worden en de te gebruiken templates zijn vastgelegd in gedelegeerde verordeningen. De FSMA verwacht dat deze eerstdaags gepubliceerd zullen worden in het Publicatieblad.
Tot dan wordt de financiële entiteiten gevraagd om zich te baseren op de ontwerpen die al gepubliceerd zijn door de Europese toezichthoudende autoriteiten.
Voor meer informatie over het geldende wettelijke kader verwijzen we naar de documentatie die de FSMA heeft gepubliceerd over de vereisten bij melding van incidenten en cyberdreigingen .
Financiële entiteiten dienen incidenten of cyberdreigingen bij de FSMA te melden via haar platform FiMIS, waar een formulier beschikbaar is met de rubrieken als vereist door de reglementering. Het is de verantwoordelijkheid van de financiële entiteiten om ervoor te zorgen dat ze toegang hebben tot FiMIS voor het invoeren van ernstige incidenten.
In uitzonderlijke gevallen, mocht FiMIS om technische redenen niet toegankelijk zijn, of mocht het voor een financiële entiteit niet mogelijk zijn om een melding te verrichten via FiMIS, dient ze de FSMA daarvan op de hoogte te brengen via e-mail aan dora@fsma.be. In het geval dat de financiële instelling geen mogelijkheid heeft om de FSMA op de hoogte te brengen via e-mail, dient de financiële entiteit telefonisch contact op te nemen met de FSMA op het nummer +32(0)2 220 52 11 tijdens de kantooruren.
Belangrijk om weten is dat de FSMA de betrokken financiële entiteit in dergelijk geval altijd zal vragen om de melding alsnog te verrichten op het FiMIS-platform zodra ze daar opnieuw toe in staat is. Een melding via een ander kanaal (telefoon, mail enz.) ontslaat een financiële entiteit dus niet van haar verplichting om het incident of de dreiging te melden op het FiMIS-platform, binnen de geldende termijnen en volgens de geldende procedures.
Indien dit relevant is voor de financiële entiteit, zal de FSMA de melding doorsturen naar het Centrum voor Cybersecurity België. De financiële entiteit hoeft de melding dus niet afzonderlijk of rechtstreeks te bezorgen aan deze autoriteit.
Bron: FSMA
Kijk dan ook eens bij Up-to-date.
Up-to-date staat boordevol interessante artikelen en is een 100% actuele, praktijkgerichte en artikel gebaseerde adaptieve e-learning. Waarmee je gemakkelijk voldoet aan de verplichtingen van de geregelde bijscholing vanuit de IDD, FSMA & ITAA.
Het abonnement om je kennis en vaardigheid met focus op (o.a.) Pensioen, Collectief Pensioen, Lijfrente, Echtscheiding, Estate Planning en Life Events, up-to-date te houden en door te ontwikkelen. Praktijk gericht, fiscaal georienteerd, boordevol actualiteiten en PE-geaccrediteerd.