Uitvraag informatieregister

Ja. De ESA’s hebben op 14 februari 2025 een FAQ-document gepubliceerd over de uitvraag van de informatieregisters. Ook hebben de ESA’s op hun website informatie over het uitvragen van de informatieregisters gepubliceerd. 

Nee. De dry run was een testuitvraag voor de toezichthouders en de marktpartijen in 2024 en er zijn andere vereisten ten opzichte van het format dat toen gebruikt is. Wij stellen een Excelformulier beschikbaar.

Indien uw ICT-dienstverlener nog geen LEI of EUID heeft, dient u een ander beschikbaar identificatienummer in te vullen. Zie ook vraag 40 van de FAQ van de ESA’s. Om te voorkomen dat uw onderneming een verzoek tot aanvulling van het informatieregister krijgt, is het belangrijk dat u geen dummy code gebruikt en dit veld niet leeg laat.

Wij verwijzen u hiervoor naar vragen 26 en 27 van de FAQ van de ESA’s. 

Wij verwijzen u naar 26 en 27 van de FAQ van de ESA’s. U dient alle lopende contracten met ICT-dienstverleners op te nemen in het informatieregister. Wanneer u sommige kolommen van het informatieregister nog niet in beeld heeft, kunt u hier ‘not applicable’ invullen, of anderszins indien een andere instructie wordt gegeven (zie vraag hierboven). 

Ja. Op grond van de gezamenlijke informatieregisters willen de ESA’s een beeld krijgen van welke ICT-dienstverleners als kritieke ICT-dienstverleners onder toezicht moeten komen. Daarbij kunnen de draft RTS van subcontracting en de FAQ van de ESA’s (o.a. vragen 70, 79, 84, 85) als uitgangspunt worden genomen.

Hiervoor verwijzen we naar vragen 4 tot en met 9 van de FAQ van de ESA’s). 

In aanvulling daarop zal DNB bij (moederondernemingen van) banken en verzekeraars onder haar toezicht het informatieregister op geconsolideerd prudentieel niveau opvragen. Indien binnen dit informatieregister ook de informatieregisters zijn geconsolideerd met betrekking tot één of meerdere andere financiële entiteiten waarvan de AFM de bevoegde toezichthouder is ten aanzien van DORA, kan aanlevering van het informatieregister bij DNB voldoende zijn. Om dubbele rapportage van gegevens te voorkomen moeten de individuele en ge(sub)consolideerde registers in dit geval niet bij de AFM worden ingediend. 

Dit kan alleen wanneer in het geconsolideerde informatieregister voor iedere afzonderlijke financiële entiteit de onderdelen van het informatieregister te herleiden zijn. Als dit niet mogelijk is, verwacht de AFM dat het informatieregister bij haar op het niveau van de individuele entiteit of gesubconsolideerd wordt aangeleverd. 

Nee, financiële entiteiten moeten altijd een informatieregister bijhouden op individueel en ge(sub)consolideerd niveau.

Onderscheid moet worden gemaakt tussen de verplichting tot het handhaven en actualiseren (samengevat bijhouden) van een ROI enerzijds en de verplichting tot het verstrekken van de ROI aan de bevoegde autoriteiten anderzijds. Deze eerste verplichting rust op alle financiële entiteiten en houdt in dat zij op het niveau van de entiteit (en op gesubconsolideerd en geconsolideerd niveau) een ROI moeten handhaven en actualiseren. De tweede verplichting houdt in dat de financiële entiteiten op verzoek van de bevoegde autoriteit hun volledige ROI of desgevraagd specifieke onderdelen daarvan ter beschikking moeten stellen.

Het informatieregister wordt jaarlijks opgevraagd zodat de ESA’s kunnen vaststellen welke ICT-dienstverleners onder toezicht moeten komen als kritieke ICT-dienstverleners. Wij zullen vervolgens de (gezamenlijke) informatieregisters naar de ESA’s sturen. Daarnaast kunnen wij de informatie gebruiken voor ons toezicht op de financiële entiteiten die onder DORA vallen.