AFM zet DORA-deadline op scherp: ook Nederlandse cryptobedrijven voelen de druk

Voor Nederlandse financiële partijen is vandaag een belangrijk toezichtsmoment aangebroken. De AFM wil dat de eerste aanlevering van het DORA-informatieregister uiterlijk 31 maart 2026 is afgerond in het AFM-portaal. Correcties om de datakwaliteit te verbeteren mogen nog tot 30 april 2026 worden ingediend. Dat register bevat alle contractuele afspraken met externe ICT-dienstverleners en wordt gebruikt voor Europees toezicht op kritieke leveranciers.

Op het eerste gezicht lijkt dat vooral relevant voor banken, beleggingsondernemingen en andere klassieke financiële partijen. Maar de cryptosector zit hier nadrukkelijk in mee. De AFM maakt namelijk duidelijk dat CASP’s bij een MiCAR-vergunningstraject ook op IT/DORA worden beoordeeld. Daarmee is de lat voor cryptodienstverleners zichtbaar breder geworden dan alleen vergunningen en klantinformatie.

De AFM schrijft dat het informatieregister alleen in xBRL-CSV als zipbestand via het AFM-portaal kan worden ingediend. De toezichthouder meldt ook dat feedback van de EBA vanaf maart 2026 normaal gesproken binnen één werkdag via het portaal beschikbaar komt.

Dat klinkt technisch, maar de betekenis is groter. Dit gaat over uitbestedingsketens, afhankelijkheid van ICT-leveranciers en de vraag of een onderneming haar digitale risico’s echt in beeld heeft. Precies daar raakt DORA de cryptomarkt.

De AFM verlangt van CASP-aanvragers niet alleen een MiCAR-dossier, maar ook onderbouwing op het vlak van risk management and compliance, incl. IT/DORA. Op dezelfde pagina staat bovendien expliciet dat CASP’s onder de reikwijdte van DORA vallen sinds 17 januari 2025.

Dat maakt de boodschap helder: voor Nederlandse cryptobedrijven zijn ICT-beheer, uitbesteding en operationele weerbaarheid geen bijzaak meer. Ze zitten inmiddels in het hart van de vergunning- en toezichtrealiteit. Die lijn sluit ook aan bij DNB, dat onder DORA verwacht dat financiële instellingen een informatieregister hebben met een overzicht van alle ICT-diensten van derde partijen, inclusief onderuitbesteding.

De AFM laat op haar crypto-registerpagina zien dat het Nederlandse overgangsregime voor voormalige DNB-geregistreerde VASP’s op 30 juni 2025 is geëindigd. Sindsdien draait het speelveld om MiCAR-vergunningen of notificaties.

Dat vergroot de impact van DORA. In de oude markt draaide toezicht vooral om registratie en integriteitsvragen. In het huidige regime komen governance, digitale weerbaarheid, uitbesteding en datakwaliteit veel nadrukkelijker op tafel. Voor cryptobedrijven betekent dat simpelweg meer bewijs, meer documentatie en meer controleerbaarheid.

Voor partijen die zwaar leunen op externe leveranciers voor custody, cloud, walletinfrastructuur, KYC, cybersecurity of data-opslag wordt de toezichtslast zichtbaarder. Niet alleen omdat die afhankelijkheden intern beheerst moeten zijn, maar ook omdat ze richting toezichthouder uitlegbaar en aantoonbaar moeten worden gemaakt. De AFM verlangt dat het informatieregister alle contractuele overeenkomsten met derde ICT-dienstverleners bevat, op entiteitsniveau en in sommige gevallen op geconsolideerd niveau.

Voor grotere spelers is dat een extra compliance-laag. Voor kleinere cryptobedrijven kan het zwaarder wegen, omdat operationele volwassenheid daarmee bijna net zo belangrijk wordt als het product zelf.

Dit is meer dan een administratief moment. De AFM laat zien dat een cryptobedrijf in Nederland niet alleen juridisch en commercieel op orde moet zijn, maar ook digitaal aantoonbaar weerbaar. MiCAR staat dus niet op zichzelf. DORA schuift er nu zichtbaar naast.

Voor de sector is dat de echte boodschap van vandaag: de Nederlandse cryptomarkt beweegt verder richting dezelfde toezichtlogica als de rest van de financiële sector. Minder ruimte voor losse processen, meer nadruk op controle, documentatie en beheersing van de hele ICT-keten.