In 2025 hebben de ondernemingen die onderworpen zijn aan DORA een informatieregister (register of information of ROI) opgesteld over hun overeenkomsten met derde aanbieders van ICT-diensten[1]. Ze hebben hun ROI via een FiMiS Survey bezorgd aan de FSMA, die ze heeft overgemaakt aan de Europese toezichtsautoriteiten ESMA, EIOPA en EBA (de ESA’s). Op basis van deze informatie hebben de ESA’s op Europees niveau de kritieke ICT-dienstverleners aangeduid waarover zij toezicht uitoefenen.
In 2026 zal deze oefening herhaald worden, maar met een beperktere scope. Slechts een beperkt aantal ondernemingen zullen hun gegevens moeten overmaken. Als er geen wijzigingen zijn ten opzichte van vorig jaar, zullen zij eenvoudig kunnen bevestigen dat de situatie ongewijzigd is. Zijn er wel wijzigingen, dan kunnen ze ervoor kiezen om de gegevens van vorig jaar aan te passen dan wel om een nieuw register in te dienen. De technische specificaties van de FiMiS Survey blijven ongewijzigd.
Concreet:
Welke ondernemingen moeten een ROI 2026 overmaken aan de FSMA?
De ondernemingen met de volgende statuten moeten in 2026 een ROI overmaken via een FiMiS Survey:
- marktondernemingen
- vennootschappen voor vermogensbeheer en beleggingsadvies
- beheervennootschappen van ICB en van AICB
- zelfbeheerde ICB’s.
Voor ondernemingen die deel uitmaken van een groep moet enkel de ROI van de vennootschap op het hoogste niveau van (sub)consolidatie waarop de FSMA toezicht uitoefent, aan haar worden meegedeeld. De ROI bevat uitsluitend informatie over de financiële entiteiten die onder het toezicht van de FSMA staan.
Voorbeeld: een financiële dienstengroep waartoe een kredietinstelling en beheervennootschap van ICB behoren, zal aan de Nationale Bank van België (of aan de Europese Centrale Bank) rapporteren voor de kredietinstelling, maar aan de FSMA voor de beheervennootschap van ICB.
Welke ondernemingen moeten geen ROI 2026 overmaken aan de FSMA?
De ondernemingen met de volgende statuten moeten in 2026 geen ROI overmaken via een FiMiS Survey:
- verzekeringstussenpersonen
- instellingen voor bedrijfspensioenvoorziening
- crowdfundingdienstverleners (crowdfundingplatformen).
Zij moeten zelf wel blijven beschikken over een up-to-date register van derde aanbieders van ICT-diensten. De FSMA kan de ondernemingen vragen om haar deze informatie te bezorgen.
Wanneer moet de ROI 2026 ingediend worden?
De ROI moet uiterlijk op 20 maart 2026 worden ingediend.
Hoe moet de ROI 2026 ingediend worden?
De technische specificaties, met inbegrip van de validatieregels, die van toepassing waren voor de ROI 2025 blijven ongewijzigd. Ze zijn beschreven in de documentatie die door de ESA’s ter beschikking werd gesteld. In 2025 had de FSMA ook een mededeling gepubliceerd, die, tenzij anders vermeld, nog steeds geldig is[2].
Ondernemingen die in 2025 al een ROI hebben ingediend, kunnen met één enkele klik de ingediende gegevens opnieuw inladen. Als er geen wijzigingen zijn ten opzichte van het voorbije jaar kunnen ze dit eenvoudig bevestigen.
Als er wel wijzigingen zijn ten opzichte van het voorbij jaar, kunnen ze ofwel de gegevens manueel aanpassen (data entry-methode) ofwel een bestand opladen in de vorm die door de ESA’s is voorzien (CSV file with filling indicators and technical Json files in one zipfile).
De referentiedatum van de gegevens ('cut-off date') is 31 december 2025.
Waar kunt u terecht met vragen over de ROI 2026?
Heeft u vragen over de ROI 2026, dan kunt u terecht bij dora@fsma.be.
