DORA-informatieregister: Lessons Learned & Vooruitblik op 2026

Een van de verplichtingen vanuit de DORA-regelgeving was het indienen van het informatieregister waarbij de belangrijke en kritieke ICT-contracten in kaart werden gebracht. Afgelopen mei was de eerste deadline voor het indienen van het informatieregister. In dit artikel blikken we terug. Wat hebben we geleerd – en waar moeten we op letten richting 2026?

De eerste aanlevering van het DORA-informatieregister in april 2025 was voor veel verzekeraars een reality check. Hoewel de verplichting al langer bekend was, bleek in veel gevallen het indienen van het informatieregister een lastige en tijdrovende opgave.

Lessons Learned uit 2025

1. Datakwaliteit is cruciaal; Veel gehoorde problemen zagen toe op incomplete of inconsistente contractdata. Denk aan ontbrekende start- of einddata, onduidelijke dienstomschrijvingen of ontbrekende leveranciersinformatie.
2. Samenwerking tussen afdelingen is essentieel; Om het informatieregister volledig in te kunnen vullen, was de samenwerking tussen verschillende interne afdelingen cruciaal. Een veel voorkomende oorzaak was in silo’s werken dat leidde tot gaten in het overzicht. Ook werd niet altijd door contracteigenaren hun verantwoordelijkheid erkent.
3. Excel was tijdelijk, xBRL is de toekomst: Het tijdelijke Excel-template van DNB bood lucht. Definities voor de invul exercitie waren niet altijd duidelijk. In 2026 wordt xBRL-rapportage de norm. Dat vraagt om structurele datamodellen en tooling.
4. Toezichthouders kijken verder dan alleen het vinkje: Zowel DNB als AFM voeren validaties uit en verwachten dat instellingen hun ICT-uitbestedingen actief monitoren en beheersen. Uit resultaten van de sectorbrede uitvraag van DNB naar DORA-implementatie blijkt dat slechts 34% van de instellingen laat weten dat zij alle ICT-contracten ondersteunend aan een kritieke of belangrijke functie in lijn hebben gebracht met de DORA-vereisten.[1]

Vooruitblik op 2026: Aandachtspunten en onze adviezen

• • Begin op tijd met dataverrijking; Zorg dat alle contracten zijn voorzien van de juiste metadata, inclusief risicoclassificaties. Houd deze data up-to-date. Het hebben van een single point of truth bron(applicatie) is dan ook verstandig om toe te passen, beheert door een verantwoordelijke sleutelpersoon.
  • Implementeer een duurzaam proces; Automatiseer waar mogelijk en leg eigenaarschap vast binnen de organisatie.
  • Houd rekening met wijzigingen in de rapportagevereisten: De Europese toezichthouders kunnen het datamodel aanpassen – blijf dus alert op updates en implementeer deze (indien mogelijk) direct in de systemen zodat er ten tijde van het indienen van het informatieregister in 2026 geen inhaalslag gemaakt dient te worden.
  • Gebruik het register als strategisch stuurmiddel: Het is meer dan een invuloefening – het biedt inzicht in afhankelijkheden en risico’s binnen de keten, specifiek voor ICT leveranciers die kritieke of belangrijke functies ondersteunen. Dit maakt dat de risico’s in de keten ook meer expliciet gemonitord kunnen worden. Maak bijvoorbeeld gebruik van een KRI om risicobewegingen te monitoren.

Kortom

Het informatieregister was geen eenmalige exercitie, maar een structureel onderdeel van digitale weerbaarheid. Wie nu investeert in datakwaliteit, third party risk | contractmanagement en procesinrichting voor de Ketenbeheersing, plukt daar in 2026 de vruchten van. Zie het informatieregister niet als verplichting, maar als kans om grip te krijgen op de ICT-keten. Door onze ruime kennis en ervaring op het gebied DORA-wetgeving, is Triple A de ideale sparringpartner. Wilt u in 2026 niet alleen compliant zijn, maar ook voorbereid? Neem contact met ons op — we denken graag met u mee.

[1] Resultaten sectorbrede uitvraag naar DORA-implementatie | De Nederlandsche Bank