Uitvraag informatieregister

Vanuit DORA moeten financiële ondernemingen een informatieregister bijhouden voor alle contractuele overeenkomsten met derde aanbieders van ICT-diensten op het niveau van de entiteit en op gesubconsolideerd en geconsolideerd niveau.

Het informatieregister wordt jaarlijks opgevraagd zodat de ESA’s kunnen vaststellen welke ICT-dienstverleners onder toezicht moeten komen als kritieke derde ICT-dienstverleners (CTPPs). In november 2025 zijn de eerste 19 partijen daarbij aangewezen.

Daarnaast kunnen wij de informatie gebruiken voor ons (risicogestuurd) toezicht op de financiële entiteiten die onder DORA vallen.

Consolidatieniveau

Afhankelijk van de situatie die op uw onderneming van toepassing is, moet u het informatieregister op het volgende consolidatieniveau aanleveren:

op het niveau van de individuele financiële entiteit wanneer de financiële entiteit geen onderdeel is van een groep financiële entiteiten;
op het niveau van de individuele financiële entiteit wanneer de financiële entiteit onderdeel is van een groep financiële entiteiten en de moederonderneming(en) buiten de Europese Unie is/zijn gevestigd;
op het hoogste consolidatieniveau in de Europese Unie wanneer de financiële entiteit onderdeel is van een groep financiële entiteiten, waarbij de AFM ingevolge de in artikel 46 DORA genoemde Uniehandelingen de bevoegde toezichthouder is.
Financiële entiteiten waarvoor de AFM de bevoegde toezichthouder is en die onderdeel zijn van een groep van financiële entiteiten waarbij de moeder op geconsolideerd niveau niet onder toezicht van een andere bevoegde autoriteit in de Europese Unie valt, leveren het informatieregister aan op het niveau van de individuele financiële entiteit.

Indienen van informatieregister

Indien u uw informatieregister bij ons moet inleveren, zal er in januari 2026 een rapportageverplichting voor u klaar staan in het AFM Portaal. U kunt het document alleen in het xBRL-CSV-format als zipfile uploaden in het AFM Portaal. Lees anders de instructie om toegang te krijgen tot het AFM Portaal (pdf, 300 kB).

De eerste aanlevering dient uiterlijk 31 maart 2026 afgerond te zijn in het AFM portaal. Correcties van ingediende registers om de datakwaliteit te verbeteren (resubmissions) zijn welkom tot 30 april.

Via deze rapportageverplichting zal u ook de feedback van de EBA ontvangen.

Aanleveren in xBRL-CSV

Het is alleen mogelijk om het informatieregister in xBRL-CSV aan te leveren bij ons, niet in een gewoon Excelbestand. De conversie naar xBRL-CSV hebben wij in 2025 eenmalig gefaciliteerd als extra service om ondernemingen te ondersteunen bij de aanlevering van het informatieregister.

Wanneer u gebruik maakt van een converter om uw informatieregister om te zetten naar xBRL-CSV, is het belangrijk om op de volgende punten te letten:

niet alle XBRL-converters zijn geschikt voor het informatieregisters. Het is belangrijk dat de converter in staat is om uw register om te zetten naar xBRL-CSV (geen iXBRL!);
controleer of de converter de taxonomie van de EBA ondersteunt;
het xBRL-CSV bestand moet aan een aantal eisen voldoen op de website van de EBA staan voorbeelden van hoe het bestand eruit moet zien.

Verder raden wij aan om tooling te gebruiken waarbij meteen goede datakwaliteitschecks worden uitgevoerd. Aanvullend raden wij aan om te valideren wat er met de data wordt gedaan door de provider.

Procedure bij de ESA's

De European Banking Authority (EBA) controleert of het bestand voldoet aan alle eisen. Als hier fouten uit naar voren komen, zullen wij de feedback van de EBA via het AFM Portaal weer terugkoppelen richting de onderneming De rapportageverplichting zal weer worden opengezet wanneer de feedback is geüpload.

Vanaf maart 2026 zal feedback normaliter binnen 1 werkdag in het AFM Portaal staan, in uitzonderlijke gevallen duurt dit 2 dagen. Duurt het langer neem contact op met dora@afm.nl.

Als u het informatieregister opnieuw aanlevert, is het belangrijk dat het bestand een andere naam heeft dan uw eerdere aanleveringen. Dit kunt u doen door de laatste cijfers van de bestandsnaam (timestamp) aan te passen.

Vragen en antwoorden over het informatieregister

Hieronder staat een aantal vragen met antwoorden vanuit de AFM over het informatieregister. Ook hebben we een document met meer gedetailleerde vragen en antwoorden (pdf, 240 kB) naar aanleiding van een Q&A-sessie. De ESA’s zelf hebben ook informatie over de uitvragen gepubliceerd en een document met Q&A’s.

Veelgestelde vragen en antwoorden

Mijn ICT-dienstverlener heeft geen LEI of EUID. Hoe vul ik dit veld in?

Meer weergeven

Indien uw ICT-dienstverlener nog geen LEI of EUID heeft, dient u een ander beschikbaar identificatienummer in te vullen. Zie ook vraag 39 en 40 van de FAQ van de ESA’s. Om te voorkomen dat uw onderneming een verzoek tot aanvulling van het informatieregister krijgt, is het belangrijk dat u geen dummy code gebruikt en dit veld niet leeg laat.

Voor sommige ICT-contracten ontbreken nog gegevens die moeten worden ingevuld in het informatieregister. Hoe moeten we hiermee omgaan?

Meer weergeven

Wij verwijzen u hiervoor naar vragen 26 en 27 van de FAQ van de ESA’s.

Nog niet alle ICT-contracten zijn DORA-proof. Moeten we die wel opnemen?

Meer weergeven

Wij verwijzen u naar 26 en 27 van de FAQ van de ESA’s. U dient alle lopende contracten met ICT-dienstverleners op te nemen in het informatieregister. Wanneer u sommige kolommen van het informatieregister nog niet in beeld heeft, kunt u hier ‘not applicable’ invullen, of anderszins indien een andere instructie wordt gegeven (zie vraag hierboven).

Zijn er nog bepaalde naamgevingsconventies waar het informatieregister aan moet voldoen?

Meer weergeven

De Europese toezichthouders verwachten het bestand in de volgende naamgevingsconventie: DUMMYLEI123456789012.IND_NL_DORA010100_DORA_2025-12-31_YYYYMMDDHHMMSSsss.

Bestanden die niet voldoen aan deze naamgevingsconventie worden niet geaccepteerd in het AFM-portaal. Daarnaast dienen de bestanden geleverd te worden in een gezipte map. Zowel de naam van het ZIP bestand als de onderliggende map dienen te voldoen aan deze naamgevingsconventie. Meer uitleg vindt u in de tabel hieronder:

Voorbeeld	Uitleg
Voorbeeld DUMMYLEI123456789012	Uitleg De LEI van de rapporterende entiteit. In dit voorbeeld een dummywaarde.
Voorbeeld.IND of .CON	Uitleg .IND vult u in voor een individueel rapport (waarbij maar één financiële instelling rapporteert). .CON vult u in voor een geconsolideerd rapport (waarbij meerdere financiële instellingen in hetzelfde informatieregister rapporteren).
VoorbeeldNL	Uitleg Dit onderdeel is altijd hetzelfde. De landcode wijzigt niet.
VoorbeeldDORA010100	Uitleg Dit onderdeel is altijd hetzelfde. De vaste code voor het rapporttype.
VoorbeeldDORA	Uitleg Dit onderdeel is altijd hetzelfde. Het rapportagekader.
Voorbeeld2025-12-31	Uitleg Dit onderdeel is altijd hetzelfde. De vaste referentiedatum voor de uitvraag in 2026.
VoorbeeldYYYYMMDDHHMMSSsss	Uitleg Tijdstempel van aanmaken van het bestand. YYYY=Jaar, MM=maand, DD=dag, HH=uur, MM=minuut, SS=seconde sss=milliseconde.

Meer informatie

De AFM communiceert regelmatig over de relevante ontwikkelingen rondom DORA. Meer informatie over DORA kunt u vinden op onze webpagina's over DORA.

Laatst gewijzigd: 12 maart 2026