Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Uitleg

Incidentmelding onder DORA: wanneer en hoe melden?

Vastgesteld 2026-06-28 · ≈ 1 min lezen · Dirk Baaijen

DORA verplicht financiële entiteiten ernstige ICT-incidenten te classificeren en te melden aan de bevoegde toezichthouder, met een eerste, tussentijdse en eindrapportage. Ernstige cyberdreigingen mogen vrijwillig worden gemeld.

Kort antwoord: DORA verplicht u om ICT-incidenten te beheren, classificeren en melden. Ernstige ICT-incidenten meldt u aan de bevoegde toezichthouder via een gefaseerde rapportage: een eerste melding, een tussentijdse update en een eindrapport. Ernstige cyberdreigingen mogen op vrijwillige basis worden gemeld.

Classificeren eerst

Niet elk incident is meldplichtig. U beoordeelt incidenten aan de hand van geharmoniseerde classificatiecriteria — onder meer het aantal getroffen cliënten en transacties, de duur en uitval, de geografische spreiding, data-impact en economische gevolgen. Komt een incident boven de drempels uit, dan geldt het als ernstig en is melding verplicht. De ESA's hebben deze criteria in technische standaarden uitgewerkt.

De gefaseerde melding

Voor een ernstig incident verloopt de melding in stappen: een eerste kennisgeving kort na vaststelling, een tussentijds rapport wanneer de situatie wezenlijk verandert of binnen de gestelde termijn, en een eindrapport met oorzaakanalyse zodra het incident is afgehandeld. De precieze termijnen en formulieren staan in de uitvoeringsstandaarden; richt uw interne proces zo in dat u die termijnen haalt.

Eén meldstroom

DORA streeft naar stroomlijning: waar mogelijk meldt u via één kanaal aan uw toezichthouder, die informatie deelt met de relevante autoriteiten. Stem uw incidentproces af op uw bedrijfscontinuïteit (zie het ICT-risicokader), zodat detectie, respons en melding in elkaar grijpen.

Lees ook: DORA-wegwijzer en ICT-risicobeheer onder DORA.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2022/2554/oj
    Verordening (EU) 2022/2554 (DORA), hoofdstuk III — beheer, classificatie en melding van ICT-incidenten.
  2. https://www.eba.europa.eu/regulation-and-policy/digital-operational-resilience-dora
    ESA's — RTS/ITS over classificatiecriteria en meldformulieren voor ernstige ICT-incidenten.

Deel op LinkedIn

Lees ook

W

DORA-readiness: een stappenplan om je voor te bereiden

DORA geldt sinds 17 januari 2025. Een praktisch stappenplan om grip te krijgen: bepaal je scope, breng ICT-afhankelijkheden en het register in kaart, richt risicobeheer en incidentmelding in, plan de weerbaarheidstesten en herzie je leverancierscontracten.

W

AI- en digitale regels voor de financiële sector — overzicht

Eén ingang voor banken, verzekeraars en fintech: welke AI- en digitale regels raken jouw instelling — van DORA en de AI Act tot kredietscoring, AML en verzekeringen — met per onderwerp een bron-herleidbaar dossier en de financiële scan.

U

DORA informatieregister (register of information): wat moet erin?

DORA verplicht financiële entiteiten een informatieregister bij te houden van álle contractuele afspraken over ICT-diensten, op entiteits-, sub-geconsolideerd en geconsolideerd niveau. Toezichthouders vragen het jaarlijks op; het voedt ook de aanwijzing van kritieke ICT-dienstverleners.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.