Vanaf april 2025 roept De Nederlandsche Bank (DNB) financiële instellingen op om het DORA-informatieregister in te dienen. Dit register, dat verplicht is onder artikel 28, lid 3 van de DORA-verordening, omvat alle contractuele afspraken met derde aanbieders van ICT-diensten. Het is een cruciale stap in het Europese proces om kritieke derde partijen aan te wijzen.
Wat houdt DORA in?
De EU-verordening Digital Operational Resilience Act (DORA) beoogt een uniforme beheersing van cyber- en ICT-risico’s door financiële ondernemingen die onder de reikwijdte van DORA vallen. Kernverplichtingen omvatten:
- Het beschikken over een ICT-risicobeheersingsraamwerk.
- Het in kaart brengen van ICT-processen en -systemen en het identificeren van bedrijfsonderdelen die afhankelijk zijn van specifieke ICT-diensten en -systemen.
- Het vastleggen van kwaliteitscriteria voor de selectie van ICT-dienstverleners en minimumvereisten voor ICT-contracten.
- Het opstellen van een gedetailleerd informatieregister met betrekking tot ICT-contracten, dat met toezichthouders moet worden gedeeld.
- Het gestandaardiseerd melden van ICT-incidenten bij toezichthouders.
- Het waarborgen dat personeel voldoende training ontvangt om adequaat om te gaan met ICT-risico’s.
- Actieve betrokkenheid van het bestuur, dat voldoende expertise moet hebben om de implementatie en naleving van DORA te ondersteunen.
Het informatieregister is een belangrijke component binnen deze verordening en moet voldoen aan de gestelde kwaliteits- en rapportagevereisten.
Waar en wanneer?
De uitvraag zal vanaf 1 april 2025 beschikbaar zijn in MijnDNB, via de Dienst Rapportages. Financiële instellingen hebben tot uiterlijk 23 april 2025 om het informatieregister aan te leveren.
Rapportageformat
Het informatieregister moet worden aangeleverd in xBRL-CSV-formaat met een tabelgeoriënteerde datastructuur. Voor instellingen die nog niet volledig voorbereid zijn op deze standaard, biedt DNB een tijdelijke oplossing. Een gestandaardiseerd Excel-template zal beschikbaar worden gesteld in de Dienst Rapportages. Dit template wordt door DNB omgezet naar het vereiste xBRL-CSV-formaat. Let op: instellingen blijven te allen tijde zelf verantwoordelijk voor de juistheid en volledigheid van de aangeleverde informatie.
Peildatum en prioriteiten
De peildatum voor het informatieregister is vastgesteld op 31 maart 2025. Indien het register nog niet volledig is gevuld, benadrukt DNB dat de datakwaliteit prioriteit geniet boven volledigheid. Deze aanpak houdt rekening met de implementatietijdlijnen en de eerdere publicatie van de final drafts op 17 januari 2024, evenals de door de ESA’s (European Supervisory Authorities) georganiseerde dry run.
Controle en terugkoppeling
Na de deadline voert DNB technische en datakwaliteitscontroles uit op basis van de vastgestelde validatieregels. Instellingen ontvangen directe terugkoppeling. De informatieregisters worden vervolgens gedeeld met de ESA’s, die aanvullende controles uitvoeren, onder andere op LEI-codes en EUID’s. Eventuele fouten dienen te worden hersteld via herrapportages.
Consolidatieniveau
Het niveau waarop het informatieregister moet worden ingediend, hangt af van de groepsstructuur en het toezichtmandaat. De belangrijkste richtlijnen zijn als volgt:
- Voor instellingen zonder groepsstructuur: rapportage op het niveau van de individuele vergunninghouder.
- Voor instellingen met een moederbedrijf buiten de EU en zonder Europese sub-consolidatie: rapportage op het niveau van de individuele vergunninghouder.
- Voor instellingen onder toezicht van DNB met een moederbedrijf binnen de groep: rapportage op het hoogste consolidatieniveau binnen DNB’s toezichtmandaat.
- Voor banken onder direct toezicht van de ECB: rapportage via de ECB, inclusief bancaire dochterondernemingen die meegeconsolideerd worden.
Professionals in de financiële sector wordt aangeraden tijdig voorbereidingen te treffen voor deze uitvraag. DNB biedt ondersteuning via de Dienst Rapportages en de door de ESA’s beschikbaar gestelde documentatie, waaronder validatieregels en datamodellen. Zorg ervoor dat uw organisatie gereed is om aan deze verplichting te voldoen.
