Blog

AFM: Uitvraag Informatieregister onder DORA

De Digital Operational Resilience Act (DORA) verplicht financiële instellingen om een gedetailleerd informatieregister bij te houden van alle contractuele overeenkomsten met derde aanbieders van ICT-diensten. Dit register moet jaarlijks worden gedeeld met de nationale toezichthouder, de Autoriteit Financiële Markten (AFM). De primaire doelstelling is het verschaffen van data aan de Europese Toezichthoudende Autoriteiten (EBA, EIOPA en ESMA), die deze informatie gebruiken om kritieke derde ICT-aanbieders aan te wijzen en onder direct toezicht te plaatsen.

De aanlevering aan de AFM dient te gebeuren op een specifiek consolidatieniveau, afhankelijk van de groepsstructuur van de financiële entiteit. Voor groepen die onder prudentieel toezicht van De Nederlandsche Bank (DNB) vallen, kan onder strikte voorwaarden worden volstaan met een geconsolideerde aanlevering bij DNB om dubbele rapportage te voorkomen. Essentieel is het onderscheid tussen de doorlopende plicht om het register op alle niveaus (individueel, ge(sub)consolideerd) te onderhouden en de jaarlijkse plicht tot aanlevering bij de toezichthouder. Vanaf januari 2026 moet de indiening verplicht plaatsvinden in xBRL-CSV-formaat via het AFM-portaal.

1. De Verplichting van het Informatieregister

1.1 Doel en Toepassing

In het kader van DORA moeten financiële instellingen een informatieregister (Register of Information, ROI) opstellen en onderhouden. Dit register omvat alle contractuele overeenkomsten die zijn aangegaan met externe aanbieders van ICT-diensten.

De kernfuncties van dit register zijn:

  • Aanlevering aan Toezichthouders: Het register moet jaarlijks worden gedeeld met de nationale toezichthouder (AFM), die het op haar beurt doorstuurt naar de Europese Toezichthoudende Autoriteiten (ESA’s: EBA, EIOPA en ESMA).
  • Aanwijzing Kritieke Aanbieders: De ESA’s gebruiken de verzamelde informatie om vast te stellen welke derde aanbieders van ICT-diensten als ‘kritiek’ moeten worden aangemerkt en daardoor onder direct Europees toezicht komen te vallen.
  • Nationaal Toezicht: De AFM kan de informatie uit het register tevens gebruiken voor haar eigen toezichtsactiviteiten op de financiële entiteiten die onder DORA vallen.

1.2 Onderscheid tussen Bijhouden en Aanleveren

Er wordt een fundamenteel onderscheid gemaakt tussen twee verplichtingen:

  1. Onderhouden en Actualiseren: Alle financiële entiteiten zijn verplicht om continu een actueel informatieregister bij te houden. Deze verplichting geldt op het niveau van de individuele entiteit, alsmede op gesubconsolideerd en geconsolideerd niveau.
  2. Verstrekken aan de Autoriteit: Financiële entiteiten moeten op verzoek van de bevoegde autoriteit hun volledige of specifieke delen van hun register ter beschikking stellen. Het aanleveren van een geconsolideerd register ontslaat een entiteit dus niet van de plicht om ook op individueel en gesubconsolideerd niveau een actueel register te handhaven.

Dora Register Of Information – Export RoI with 1 click

 

2. Vereisten voor Aanlevering

2.1 Consolidatieniveaus

Het niveau waarop het informatieregister bij de AFM moet worden aangeleverd, is afhankelijk van de structuur van de onderneming. De volgende scenario’s zijn van toepassing:

Situatie Vereist Aanleveringsniveau
De financiële entiteit is geen onderdeel van een groep. Op het niveau van de individuele financiële entiteit.
De financiële entiteit is onderdeel van een groep en de moederonderneming(en) is/zijn buiten de EU gevestigd. Op het niveau van de individuele financiële entiteit.
De financiële entiteit is onderdeel van een EU-groep en de AFM is de bevoegde toezichthouder. Op het hoogste consolidatieniveau binnen de Europese Unie.
De financiële entiteit is onderdeel van een groep waarbij de moeder op geconsolideerd niveau niet onder toezicht van een andere EU-autoriteit valt. Op het niveau van de individuele financiële entiteit.

2.2 Coördinatie met De Nederlandsche Bank (DNB)

Voor groepen waar DNB het prudentiële groepstoezicht uitoefent (zoals groepen met banken en/of verzekeraars), bestaat een specifieke regeling om dubbele rapportage te voorkomen.

  • DNB vraagt bij deze groepen het informatieregister op geconsolideerd prudentieel niveau op.
  • Als de informatieregisters van entiteiten waarvoor de AFM de bevoegde DORA-toezichthouder is, in deze geconsolideerde rapportage zijn opgenomen, kan aanlevering bij DNB volstaan. De registers hoeven dan niet afzonderlijk bij de AFM te worden ingediend.
  • Cruciale voorwaarde: De onderdelen van het informatieregister moeten voor iedere afzonderlijke financiële entiteit herleidbaar zijn binnen het geconsolideerde register. Indien dit niet mogelijk is, verwacht de AFM alsnog een separate aanlevering op individueel of gesubconsolideerd niveau.

AFM DORA Infography

3. Praktische en Technische Specificaties

3.1 Aanleverformat en Conversie

  • Verplicht Format: Het is uitsluitend mogelijk om het informatieregister in xBRL-CSV-format aan te leveren.
  • Deadline: De rapportageverplichting zal in januari 2026 in het AFM-portaal beschikbaar zijn.
  • Eenmalige Service 2025: De AFM heeft in 2025 eenmalig een conversie van Excel naar xBRL-CSV gefaciliteerd als extra service. Deze dienst zal niet beschikbaar zijn voor de aanlevering in 2026.

Bij het gebruik van een eigen converter dient een onderneming te controleren of deze:

  1. In staat is om naar xBRL-CSV te converteren (en niet naar iXBRL).
  2. De taxonomie van de EBA ondersteunt.
  3. Een bestand genereert dat voldoet aan de eisen en voorbeelden zoals gepubliceerd op de website van de EBA.

3.2 Indieningsproces

De indiening van het informatieregister verloopt via het AFM-portaal.

  • Een rapportageverplichting wordt in januari 2026 klaargezet.
  • Het document moet als een zipfile in het xBRL-CSV-format worden geüpload.
  • Feedback van de EBA op de aanlevering zal eveneens via deze rapportageverplichting worden gecommuniceerd.

4. Richtlijnen voor Data-invulling

Voor de invulling van specifieke velden in het register wordt verwezen naar het FAQ-document van de ESA’s, gepubliceerd op 14 februari 2025.

  • Ontbrekende Identificatienummers (LEI/EUID): Indien een ICT-dienstverlener geen LEI (Legal Entity Identifier) of EUID heeft, dient een ander beschikbaar identificatienummer te worden ingevuld. Het gebruik van een ‘dummy code’ of het leeglaten van het veld is niet toegestaan en kan leiden tot een verzoek tot aanvulling. (Verwijzing: Vraag 40, ESA FAQ).
  • Onvolledige of Niet-DORA-Proof Contracten: Alle lopende contracten met ICT-dienstverleners moeten worden opgenomen in het register, ook als deze nog niet volledig ‘DORA-proof’ zijn of als bepaalde gegevens ontbreken. Voor kolommen waarvoor de informatie nog niet beschikbaar is, kan ‘not applicable’ worden ingevuld, tenzij een andere instructie van toepassing is. (Verwijzing: Vragen 26 en 27, ESA FAQ).

AFM Website : https://www.afm.nl/nl-nl/sector/themas/belangrijke-europese-wet–en-regelgeving/dora/informatieregister