Go to content

Veelgestelde vragen DORA

Op deze pagina vindt u de antwoorden op veelgestelde vragen over DORA.

DORA-meldingen

Moet ik zowel op grond van de Wft-meldingsplicht als op grond van DORA-incidenten meldingen doen over ICT-diensten?

Nee, u dient in die gevallen waar volledige overlap tussen de meldingsplichtige situatie is, deze te melden via de DORA-app in het AFM Portaal als ICT-incident en met de bijlages die daar genoemd worden.

Moet ik zowel op grond van de Wft als op grond van DORA voorgenomen contracten met ICT-dienstverleners melden?

Nee, u dient in gevallen waar volledige overlap is tussen de meldingsplichtige situatie voor DORA en de Wft te melden via de DORA app in het AFM Portaal.

Mijn onderneming is naast DORA ook NIS2-plichtig. Is een DORA melding van incidenten voldoende om ook aan NIS2 verplichtingen te voldoen?

Nee, er is sprake van een dubbele meldingsplicht voor DORA- en NIS2-incidenten. De DORA-melding van een incident kunt u doen in de DORA-app van het AFM Portaal, een NIS2-melding kunt u doen bij het Nationaal Cyber Security Centrum (NCSC). Meer informatie hierover vindt u op de website van het NCSC: incident melden en registratieplicht.

Als een contract met een dienstverlener zowel een ICT-dienst betreft als een niet-ICT dienst, moet het dan twee keer gemeld worden bij de AFM?

Naast een meldingsplicht op grond van DORA voor contracten met ICT-dienstverleners die een kritieke of belangrijke functie ondersteunen, geldt er ook een meldingsplicht in het geval van voorgenomen kritieke en belangrijke uitbesteding op grond van de Wft. Deze kunnen overlappen, zoals in sommige gevallen bij uitbesteding van KYC en administratie. In gevallen waarin zowel sprake is van een meldingsplichtige ICT-dienst die op grond van DORA moet worden gemeld als een meldingsplichtige uitbestede niet-ICT-dienst die op grond van de Wft moet worden gemeld, volstaat melding via de DORA app in het AFM-portaal. Wel dient u in dat geval het meldingsformulier Uitbesteding als extra bijlage te uploaden bij de melding. 

Hoe krijg ik toegang tot de DORA-meldingen in het AFM portaal?

U krijgt toegang tot de DORA-meldingen wanneer u een vergunning heeft bij de AFM en onder DORA valt. Uw organisatie dient via machtigingenbeheer in het portaal zelf te regelen dat de juiste medewerkers toegang hebben. Indien u een vergunning heeft bij de AFM, onder de reikwijdte van DORA valt en ten onrechte geen medewerkers kunt machtigen voor DORA via  machtigingenbeheer, kunt u contact opnemen met het ondernemersloket van de AFM.

Reikwijdte van DORA

Vallen beleggingsondernemingen en beheerders uit derde landen ook onder DORA?

Nee, Wij zijn van mening dat deze instellingen niet vallen onder de reikwijdte van artikel 2 van DORA.

Wanneer kwalificeert een financiële dienst als ICT-dienst ?

Dit hangt van een aantal factoren af. De Europese Commissie heeft op deze vraag antwoord gegeven, zie daarvoor DORA030 dat op de website van EIOPA is gepubliceerd.

Indien geen sprake zou zijn van een ICT-dienst op grond van voorgaande EC DORA Q&A, kunnen er nog steeds ICT-risico’s en -incidenten bij de onderneming uit voortkomen. Andere hoofdstukken van DORA, zoals het hoofdstuk ICT-risk management, kunnen dan wel van toepassing zijn.

Wanneer val ik als verzekeringstussenpersoon, herverzekeringstussenpersoon of nevenverzekeringstussenpersoon onder DORA?

Deze instellingen vallen onder de reikwijdte van DORA als ze een vergunning hebben voor het bemiddelen in verzekeren, 250 of meer fte hebben of minder dan 250 fte maar meer dan €50 miljoen euro omzet én meer dan €43 miljoen balanstotaal.

Als de instelling onderdeel is van een groep ondernemingen, dienen de fte, omzet en balanstotaal van alle financiële entiteiten (zoals genoemd in artikel 2, lid 1 van DORA) bij elkaar worden opgeteld. 

Laatst gewijzigd: 1 juli 2025