EU Regulatory Intelligence — by YRproject

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Uitleg

DORA informatieregister (register of information): wat moet erin?

Vastgesteld 2026-06-28 · ≈ 1 min lezen · Dirk Baaijen

DORA verplicht financiële entiteiten een informatieregister bij te houden van álle contractuele afspraken over ICT-diensten, op entiteits-, sub-geconsolideerd en geconsolideerd niveau. Toezichthouders vragen het jaarlijks op; het voedt ook de aanwijzing van kritieke ICT-dienstverleners.

Kort antwoord: Het informatieregister is je verplichte, gestandaardiseerde overzicht van alle contractuele afspraken over ICT-diensten met derde dienstverleners. Je houdt het bij op entiteits-, sub-geconsolideerd en geconsolideerd niveau, en de toezichthouder kan het (jaarlijks) opvragen. Het is geen formaliteit — het voedt het Europese oversight op kritieke ICT-dienstverleners.

Wat erin staat

Per contractuele afspraak: de dienstverlener en zijn identificatie, het type ICT-dienst, of de dienst een kritieke of belangrijke functie ondersteunt, de keten van onderaannemers/subverwerkers, locaties van dienstverlening en dataverwerking, en de looptijd/opzegvoorwaarden. De ESA's hebben hiervoor gestandaardiseerde sjablonen (ITS) vastgesteld, zodat registers vergelijkbaar zijn.

Waarom het ertoe doet

Het register is tegelijk je eigen stuurinstrument: het maakt afhankelijkheden en concentratierisico zichtbaar (bijvoorbeeld te veel kritieke diensten bij één cloudprovider). En het is de basis waarop de ESA's bepalen welke ICT-dienstverleners als kritiek worden aangewezen voor direct Europees oversight. Zie Derden-ICT-risico en oversight.

Praktisch

Begin met een volledige inventarisatie van je ICT-uitbestedingen, classificeer per functie (kritiek/belangrijk of niet), vul de ITS-sjablonen, en richt een proces in om het register actueel te houden bij elke nieuwe of gewijzigde afspraak.

Lees ook: DORA-wegwijzer en DORA-readiness: stappenplan.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2022/2554/oj
    Verordening (EU) 2022/2554 (DORA), artikel 28 — register van contractuele afspraken met ICT-derde-dienstverleners.
  2. https://www.eba.europa.eu/regulation-and-policy/digital-operational-resilience-dora
    ESA's — uitvoeringsstandaarden (ITS) voor de gestandaardiseerde sjablonen van het informatieregister.

Deel op LinkedIn

Lees ook

U

Derden-ICT-risico onder DORA: contracten, register en oversight

DORA stelt eisen aan uitbesteding van ICT: verplichte contractbepalingen, een informatieregister van alle ICT-dienstverleners, en een Europees oversightkader voor als kritiek aangemerkte ICT-dienstverleners.

W

AI- en digitale regels voor de financiële sector — overzicht

Eén ingang voor banken, verzekeraars en fintech: welke AI- en digitale regels raken jouw instelling — van DORA en de AI Act tot kredietscoring, AML en verzekeringen — met per onderwerp een bron-herleidbaar dossier en de financiële scan.

W

DORA-readiness: een stappenplan om je voor te bereiden

DORA geldt sinds 17 januari 2025. Een praktisch stappenplan om grip te krijgen: bepaal je scope, breng ICT-afhankelijkheden en het register in kaart, richt risicobeheer en incidentmelding in, plan de weerbaarheidstesten en herzie je leverancierscontracten.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.