Navigeren door DORA-naleving: ICT-derdencontracten melden aan DNB voor 23 april 2025

Per 17 januari 2025 verplicht de Digital Operational Resilience Act (DORA) financiële instellingen om een uitgebreid register bij te houden van alle contractuele overeenkomsten met ICT-dienstverleners van derden. Deze eis, vastgelegd in artikel 28(3) van DORA, heeft als doel de transparantie en het toezicht op de afhankelijkheid van externe ICT-diensten in de financiële sector te vergroten.

Belangrijke meldingsdeadline: 23 april 2025

Financiële instellingen onder toezicht van De Nederlandsche Bank (DNB) moeten hun register uiterlijk 23 april 2025 indienen. Vanaf 1 april 2025 is het meldingsverzoek beschikbaar via het MyDNB-portaal (onder Reporting Service). Het register moet worden aangeleverd als xBRL-CSV-bestand met een tabelgerichte opmaak. Voor instellingen die de xBRL-CSV-standaard nog niet op tijd kunnen implementeren, is dit jaar een alternatief beschikbaar: een gestandaardiseerd Excel-sjabloon. DNB zet het Excel-bestand bij indiening om naar het xBRL-CSV-formaat. De verantwoordelijkheid voor de juistheid en volledigheid van de gerapporteerde informatie blijft echter altijd bij de financiële instelling zelf.

Doel van het register

Het register dient meerdere doelen:

• Intern risicobeheer: Helpt instellingen bij het monitoren en beheersen van ICT-risico’s van derden.
• Regelgevend toezicht: Verschaft toezichthouders de benodigde informatie om het beheer van ICT-risico’s van derden te controleren.
• Aanwijzing van kritieke aanbieders: Ondersteunt de Europese toezichthouders (ESA’s) bij het identificeren en aanwijzen van kritieke ICT-dienstverleners, die vervolgens onder hun toezicht vallen.

Meldingsvereisten

Financiële instellingen moeten de volgende gegevens in hun register opnemen:

• Contractdetails: Informatie over alle overeenkomsten met ICT-dienstverleners van derden, met onderscheid tussen contracten die kritieke of belangrijke functies ondersteunen en diegene die dat niet doen.
• Dienstcategorieën: Details over de categorieën ICT-diensten en -functies die worden geleverd.
• Gegevens van de dienstverlener: Inclusief Legal Entity Identifiers (LEI’s).
• Contractuele voorwaarden: Informatie over de voorwaarden, opzegclausules en toepasselijke wetgeving.

Volgende stappen voor financiële instellingen

Om te voldoen aan DORA, moeten instellingen:

1. Bestaande contracten reviewen: Alle huidige ICT-overeenkomsten met derden beoordelen en ervoor zorgen dat ze correct in het register zijn opgenomen.
2. Gebruik maken van sjablonen: Indien nodig het gestandaardiseerde Excel-sjabloon van DNB downloaden en invullen.
3. Tijdig indienen: Zorgen dat het register voor 23 april 2025 is ingediend.
4. Actualiteit bewaken: Het register regelmatig bijwerken met nieuwe of beëindigde overeenkomsten, voor doorlopende compliance.

Door deze stappen te volgen, kunnen financiële instellingen hun ICT-risico’s van derden effectief beheersen en voldoen aan de DORA-eisen.

Optimaliseer uw meldingsproces met Anove AI

Op zoek naar een efficiëntere manier om aan uw DORA-rapportageverplichtingen te voldoen? Ontdek Anove AI, een geavanceerd platform dat het beheer van ICT-overeenkomsten met derden vereenvoudigt en automatiseert. Met Anove AI kunt u uw register moeiteloos samenstellen, valideren en indienen, zodat u voldoet aan de strenge DORA-eisen. Start vandaag nog uw gratis proefperiode en ervaar de toekomst van regelgevende