Les entreprises soumises au règlement DORA ont établi en 2025 un registre d’informations (register of information ou ROI) répertoriant leurs accords avec des prestataires tiers de services TIC[1]. La FSMA a collecté ces ROI par le biais d’une survey FiMiS et les a transmis aux autorités européennes de supervision EBA, ESMA et EIOPA (les « AES »). Ces dernières ont ainsi pu désigner au niveau européen les prestataires tiers critiques de services TIC, sur lesquels elles exercent une supervision.
L’exercice va être répété en 2026. Il sera toutefois d’une moindre ampleur. Seul un nombre restreint d’entreprises devront transmettre leurs données. En l’absence de changements par rapport à l'année dernière, elles pourront simplement confirmer que la situation est inchangée. Dans le cas contraire, elles pourront soit adapter les données de l'année dernière, soit soumettre un nouveau registre. Les spécifications techniques de la survey FiMiS restent identiques.
Concrètement :
Quelles entreprises devront soumettre un ROI 2026 à la FSMA ?
Les entreprises ayant les statuts suivants devront communiquer un ROI par le biais d’une survey FiMiS en 2026 :
- les entreprises de marché ;
- les sociétés de gestion de portefeuille et de conseil en investissement ;
- les sociétés de gestion d’OPC et d’OPCA ;
- les OPC autogérés.
Les entreprises faisant partie d’un groupe ne devront transmettre à la FSMA que le ROI de la société se situant au niveau le plus élevé de (sous-)consolidation soumis au contrôle de la FSMA. Le ROI contiendra uniquement des informations sur les entreprises relevant du contrôle de la FSMA.
Exemple : un groupe de services financiers auquel appartiennent un établissement de crédit et une société de gestion d’OPC fera rapport à la Banque nationale de Belgique (ou à la Banque centrale européenne) en ce qui concerne l’établissement de crédit et à la FSMA s’agissant de la société de gestion d’OPC.
Quelles entreprises ne devront pas soumettre de ROI 2026 à la FSMA ?
Les entreprises ayant les statuts suivants ne devront pas communiquer un ROI par le biais d’une survey FiMiS en 2026 :
- les intermédiaires d’assurances ;
- les institutions de retraite professionnelle ;
- les prestataires de services de financement participatif (plateformes de crowdfunding).
Elles devront toutefois conserver un registre actualisé de leurs prestataires tiers de services TIC. La FSMA pourra demander aux entreprises de lui fournir ces informations.
Quand le ROI 2026 devra-t-il être soumis ?
Le ROI devra être soumis d’ici le 20 mars 2026.
Comment le ROI 2026 devra-t-il être soumis ?
Les spécifications techniques (y compris les règles de validation) qui étaient applicables pour le ROI 2025 restent inchangées. Elles sont décrites dans la documentation mise à disposition par les AES. La communication publiée par la FSMA en 2025 est par ailleurs, sauf précision contraire, toujours valable[2].
Les entreprises qui ont déjà soumis un ROI en 2025 pourront réintroduire les données soumises en un seul clic. S'il n'y a pas de changements par rapport à l'année dernière, elles n’auront qu’à confirmer que tel est le cas.
En revanche, si des changements sont intervenus par rapport à l'année dernière, elles pourront soit modifier les données manuellement (méthode data entry), soit télécharger un fichier en respectant le format prévu par les AES (CSV file with filling indicators and technical Json files in one zipfile).
La date de référence des données (« cut-off date ») est le 31 décembre 2025.
À qui s’adresser pour toute question concernant le ROI 2026 ?
Les questions relatives au ROI 2026 peuvent être envoyées à l’adresse dora@fsma.be.
