27 January

Nadere toelichting bij het opvragen van het informatieregister over derde dienstaanbieders en over meldingen van ernstige ICT-incidenten

Op 17 januari 2025 is de verordening over de digitale operationele weerbaarheid van de financiële sector (DORA) officieel in werking getreden.

De Autoriteit voor Financiële Diensten en Markten (FSMA) grijpt deze gelegenheid aan om toelichting te verstrekken bij de verplichtingen voor financiële entiteiten aangaande de inzameling van het informatieregister over derde aanbieders van ICT-diensten en de melding van ernstige ICT-incidenten.
In deze mededeling wordt nader ingegaan op het toepassingsgebied en de praktische regels voor de naleving van deze verplichtingen.

De hiernavolgende informatie kan in de toekomst verder aangevuld of nader gepreciseerd indien de geldende wettelijke omkadering wijzigt of op grond van ervaring met de toepassing van de verordening.

Opvragen van het informatieregister

De DORA-verordening verplicht de financiële entiteiten om een register bij te houden en te actualiseren met informatie over alle contractuele overeenkomsten inzake het gebruik van ICT-diensten die door derde aanbieders van ICT-diensten worden geleverd.

Beginsel

Conform artikel 28, lid 3, alinea 4, van de DORA-verordening, kan de FSMA de financiële entiteiten vragen om haar hun volledige informatieregister of desgevraagd specifieke onderdelen daarvan ter beschikking te stellen, samen met alle informatie die noodzakelijk wordt geacht om doeltreffend toezicht op de financiële entiteit mogelijk te maken.

Naar aanleiding van een recente beslissing van de Europese toezichthoudende autoriteiten, is de FSMA verplicht om het volledige informatieregister van de aan haar toezicht onderworpen financiële entiteiten op te vragen, en om die informatieregisters uiterlijk op 30 april 2025 aan die autoriteiten te bezorgen. Doelstelling van de informatie-inzameling is de Europese toezichthoudende autoriteiten in staat te stellen de kritieke derde aanbieders van ICT-diensten aan te duiden, die onderworpen zullen worden aan hun toezicht.

Door hun volledige register aldus ter beschikking te stellen van de FSMA conformeren de financiële entiteiten zich tezelfdertijd aan artikel 28, lid 3 van de DORA-verordening dat het volgende stelt:

‘Financiële entiteiten rapporteren ten minste jaarlijks aan de bevoegde autoriteiten over het aantal nieuwe overeenkomsten inzake het gebruik van ICT-diensten, de categorieën van derde aanbieders van ICT-diensten, het soort contractuele overeenkomsten en de ICT-diensten en -functies die worden geleverd’.

Welke financiële entiteiten moeten hun informatieregister ter beschikking stellen van de FSMA?

De financiële entiteiten die onder de toepassing van DORA vallen, moeten hun volledige informatieregister ter beschikking stellen van de FSMA, rekening houdend met volgende punten:

  • financiële entiteiten die geen deel uitmaken van een groep van financiële entiteiten, moeten hun informatieregister op individueel niveau ter beschikking stellen van de FSMA;
    • Voorbeeld: een verzekeringstussenpersoon die niet door een andere financiële entiteit wordt gecontroleerd, moet zijn informatieregister op individueel niveau ter beschikking stellen van de FSMA.
  • financiële entiteiten die deel uitmaken van een groep van financiële entiteiten waarvan de andere entiteiten hun zetel buiten de Europese Unie hebben, moeten hun informatieregister op individueel niveau ter beschikking stellen van de FSMA;
    • Voorbeeld: een beheerder van AICB’s die wordt gecontroleerd door een financiële entiteit met zetel buiten de Europese Unie, moet zijn informatieregister op individueel niveau ter beschikking stellen van de FSMA.
  • in het geval van een groep van vennootschappen moet enkel het informatieregister van de vennootschap op het hoogste (sub)consolidatieniveau waarop de FSMA toezicht houdt, ter beschikking worden gesteld van de FSMA. De aan de FSMA bezorgde informatieregisters moeten bovendien enkel informatie bevatten over de financiële entiteiten die onder haar toezicht staan;
    • Voorbeeld: een financiële dienstengroep waarvan een kredietinstelling en een beheervennootschap van instellingen voor collectieve belegging deel uitmaken, moet rapporteren aan de Nationale Bank van België (of aan de Europese Centrale Bank) voor de kredietinstelling, en een informatieregister ter beschikking stellen van de FSMA voor de beheervennootschap van instellingen voor collectieve belegging.
  • met het oog op de administratieve vereenvoudiging moeten financiële entiteiten die individueel onder twee afzonderlijke statuten vallen – het ene onder het toezicht van de FSMA en het andere onder het toezicht van de Nationale Bank van België – hun informatieregister niet ter beschikking stellen van de FSMA. Het gaat hier om de verzekeringstussenpersonen of de verleners van alternatieve-financieringsdiensten (crowdfundingplatformen) die, op individueel niveau, ook het statuut van kredietinstelling of betalingsinstelling hebben. Deze financiële entiteiten zullen hun informatieregister ter beschikking moeten stellen van de toezichthouder van hun hoofdstatuut, in casu de Nationale Bank van België.

Welke praktische regels gelden er voor deze informatie-inzameling?

Het toepassingsgebied, de inhoud en het formaat van het informatieregister worden in detail toegelicht in Uitvoeringsvorderordening (EU) 2024/2956 van de Commissie.
Het informatieregister moet uiterlijk op 10 april 2025 ter beschikking worden gesteld van de FSMA.
De FSMA krijgt de informatieregisters op haar platform FiMIS. Zodra FiMIS wordt opengesteld, zal de FSMA hierover berichten, conform de instructies die nog moeten worden gepubliceerd door de Europese toezichthoudende autoriteiten.

De rapporteringsmodule die ontwikkeld zal worden door de FSMA zal het mogelijk maken om zowel (i) de betrokken gegevens onmiddellijk in te voeren (data-entry), als (ii) een bestand op te laden in het formaat dat voorzien wordt door de Europese toezichthoudende autoriteiten(CSV file with filling indicators and technical Json files in one zipfile). Dit rapporteringsformaat is hetzelfde als hetgeen reeds gebruikt werd door de financiële instellingen die hebben deelgenomen aan de dry run georganiseerd in 2024. Het dient evenwel vermeld te worden dat de Europese toezichthoudende autoriteiten bij die gelegenheid een Excel-to-csv conversion tool en een Excel Template ter beschikking hebben gesteld, wat nu niet meer het geval zal zijn.

Melding van ernstige ict-gerelateerde incidenten

Wie moet incidenten en cyberdreigingen melden?

De DORA-verordening verplicht financiële entiteiten om ernstige ICT-gerelateerde incidenten te melden aan de FSMA.

Gaat het om significante cyberdreigingen, dan laat de DORA-verordening de financiële entiteiten de keuze om die, op vrijwillige basis, te melden aan de FSMA wanneer zij van oordeel zijn dat ze relevant zijn voor het financiële stelsel, de gebruikers van diensten of de cliënten.

Merk evenwel op dat financiële entiteiten onder toezicht van de Nationale Bank van België (zoals kredietinstellingen) ernstige incidenten en significante cyberdreigingen enkel aan haar moeten melden. Ze hoeven ze niet te melden aan de FSMA, ook al staan ze op individueel niveau eveneens onder toezicht van de FSMA (bijvoorbeeld omdat ze de hoedanigheid hebben van verzekeringstussenpersoon of crowdfundingdienstverlener).

Welke praktische regels gelden er voor het melden van incidenten en cyberdreigingen?

De classificatiecriteria en de materialiteitsdrempels die voor meldingen gehanteerd moeten worden, zijn vastgelegd in Gedelegeerde Verordening (EU) 2024/1772.

De precieze inhoud van de meldingen, de termijn waarbinnen ze moeten worden verricht, de procedures die daarbij gevolgd moeten worden en de te gebruiken templates zijn vastgelegd in gedelegeerde verordeningen. De FSMA verwacht dat deze eerstdaags gepubliceerd zullen worden in het Publicatieblad.

Tot dan wordt de financiële entiteiten gevraagd om zich te baseren op de ontwerpen die al gepubliceerd zijn door de Europese toezichthoudende autoriteiten.

Voor meer informatie over het geldende wettelijke kader verwijzen we naar de documentatie die de FSMA heeft gepubliceerd over de vereisten bij melding van incidenten en cyberdreigingen .
Financiële entiteiten dienen incidenten of cyberdreigingen bij de FSMA te melden via haar platform FiMIS, waar een formulier beschikbaar is met de rubrieken als vereist door de reglementering. Het is de verantwoordelijkheid van de financiële entiteiten om ervoor te zorgen dat ze toegang hebben tot FiMIS voor het invoeren van ernstige incidenten.

In uitzonderlijke gevallen, mocht FiMIS om technische redenen niet toegankelijk zijn, of mocht het voor een financiële entiteit niet mogelijk zijn om een melding te verrichten via FiMIS, dient ze de FSMA daarvan op de hoogte te brengen via e-mail aan dora@fsma.be. In het geval dat de financiële instelling geen mogelijkheid heeft om de FSMA op de hoogte te brengen via e-mail, dient de financiële entiteit telefonisch contact op te nemen met de FSMA op het nummer +32(0)2 220 52 11 tijdens de kantooruren.

Belangrijk om weten is dat de FSMA de betrokken financiële entiteit in dergelijk geval altijd zal vragen om de melding alsnog te verrichten op het FiMIS-platform zodra ze daar opnieuw toe in staat is. Een melding via een ander kanaal (telefoon, mail enz.) ontslaat een financiële entiteit dus niet van haar verplichting om het incident of de dreiging te melden op het FiMIS-platform, binnen de geldende termijnen en volgens de geldende procedures.

Indien dit relevant is voor de financiële entiteit, zal de FSMA de melding doorsturen naar het Centrum voor Cybersecurity België. De financiële entiteit hoeft de melding dus niet afzonderlijk of rechtstreeks te bezorgen aan deze autoriteit.

Bron: FSMA

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.