Forordningen er nu på plads. Den beskriver hvilke oplysninger, der skal registreres om IKT-udbydere. Her er de 15 skabeloner, der skal udfyldes for at opfylde DORAs krav til IKT-serviceaftaler – (EU) 2024/2956.
Europa-Kommissionen har vedtaget en delegeret forordning (EU) 2024/2956 om en implementeringsteknisk standard for informationsregistret for IKT-serviceaftaler. Dette omtales som niveau 2-lovgivning.
Bag det juridiske sprog ligger de detaljerede krav til registrering af direkte IKT-udbydere og deres underleverandører. Disse er allerede beskrevet på et højere niveau i DORA-forordningen (EU) 2022/2554 om digital operationel robusthed i den finansielle sektor. En delegeret forskrift er derfor en specifikation og kan sammenlignes med en regulering forskrift i dansk ret.
Vi har tidligere skrevet om DORA; at DORA kræver en risikobaseret tilgang, når pengeinstitutter indgår aftaler med eksterne IKT-udbydere. Alle institutioner skal føre et register med overblik over ydelser leveret af IKT-udbydere. Registret skal dokumentere, hvilke tjenester der understøtter kritiske eller vigtige funktioner, og det skal være tilgængeligt for tilsynsmyndigheder.
Den delegerede forordning præciserer DORAs artikel 28, hvor vi finder krav til tredjeparts IKT-leverancer. Dette er den del af DORA, der er omfattet af House of Controls løsning.
Syv artikler om registret for IKT-udbydere
Det Delegeret forskrift for DORAs krav til informationsregisteret for IKT-udbydere består af syv artikler. Artikel 1 indeholder definitioner, hvor den vigtigste sondring er mellem direkte IKT-tjenesteudbydere og underleverandører længere nede i forsyningskæden, som er rangeret i artikel 2.
Artikel 3 er kernen i informationsregistret og skitserer de generelle krav, der er nærmere beskrevet i de 15 skabeloner nedenfor. Det giver finansielle institutioner mandat til at give (præcis, fuldstændig og konsistent) information om alle IKT-tjenester leveret af direkte udbydere og underleverandører, der understøtter kritiske funktioner. LEI eller EUID skal bruges til at identificere udbydere, og registret skal løbende gennemgås og opdateres.
LEI er en global, unik identifikator for juridiske enheder inden for finans. Den består af en alfanumerisk kode på 20 tegn, der er knyttet til nøgleoplysninger om enheden, såsom dens navn, adresse og registreringsland. EUID er en lignende unik identifikator, der bruges til virksomheder registreret i EU, tilsluttet Business Registers Interconnection System (BRIS).
Artikel 4 til 6 indeholder tekniske beskrivelser af dataformatkrav, registrets indhold og regler for koncerner, der indberetter på konsolideret grundlag.
Disse 15 skabeloner skal udfyldes
I henhold til DORAs artikel 28 skal finansielle enheder have overblik over alle deres aftaler med IKT-tjenesteudbydere. Dette gøres ved at udfylde 15 standardiserede skabeloner, der dækker forskellige aspekter af disse aftaler. Nedenfor er en forenklet forklaring af hver skabelon, med henvisning til hver enkelt skabelon.
Selvom disse er beskrivelser af hver skabelon, der er nævnt i første del af bilag 1, er der præcise instruktioner til at udfylde alle 15 skabeloner i anden del. De er alle beskrevet her:
- B_01.01 – Enhed, der vedligeholder registret: Identificerer den enhed, der er ansvarlig for at opdatere registret, enten på individuelt niveau eller for hele virksomheden.
- B_01.02 – Liste over enheder inden for gruppen: Viser alle enheder, der tilhører gruppen. Hvis den finansielle enhed ikke er en del af en koncern, er kun denne enhed opført.
- B_01.03 – Liste over filialer: Identificerer filialerne af de finansielle enheder nævnt i B_01.02.
- B_02.01 – Aftaler – generel information: Lister alle aftaler med eksterne IKT-tjenesteudbydere og tildeler hver aftale et unikt referencenummer.
- B_02.02 – Aftaler – specifik information: Giver detaljer om hver aftale, herunder de omfattede IKT-tjenester, de funktioner, de understøtter, og andre vigtige oplysninger såsom opsigelsesperiode og anden gældende lovgivning.
- B_02.03 – Liste over interne aftaler: Viser sammenhængen mellem interne aftaler og aftaler med eksterne IKT-tjenesteudbydere, når de indgår i samme servicekæde.
- B_03.01 – Enheder, der underskriver aftaler om at modtage IKT-tjenester: Giver oplysninger om, hvilken enhed der underskriver aftalen med IKT-tjenesteudbyderen på vegne af den enhed, der bruger tjenesterne.
- B_03.02 – IKT-tjenesteudbydere, der underskriver aftalerne: Identificerer alle IKT-tjenesteudbydere, der underskriver aftalerne om at levere tjenester.
- B_03.03 – Enheder, der underskriver aftaler om at levere IKT-tjenester internt: Identificerer enheder i koncernen, der underskriver aftaler om at levere IKT-tjenester til andre enheder inden for samme koncern.
- B_04.01 – Enheder, der bruger IKT-tjenesterne: Identificerer alle enheder, der bruger IKT-tjenester leveret af eksterne leverandører, herunder interne IKT-udbydere.
- B_05.01 – IKT-tjenesteudbydere: Lister og giver generel information om direkte IKT-tjenesteudbydere, interne IKT-udbydere, underleverandører i forsyningskæden og deres moderselskab.
- B_05.02 – IKT-servicekæde: Identificerer og forbinder IKT-tjenesteudbydere, der er en del af den samme servicekæde, og rangerer dem efter deres position i kæden.
- B_06.01 – Funktionsidentifikation: Identificerer og giver information om den finansielle enheds funktioner, der bruger IKT-tjenesterne, herunder en unik identifikator for hver kombination af enhed, dens licenserede aktivitet og funktion.
- B_07.01 – Vurderinger af IKT-tjenester: Indeholder information om risikovurdering af IKT-tjenester, især dem, der understøtter kritiske eller vigtige funktioner.
- B_99.01 – Definitioner fra enheder, der bruger IKT-tjenesterne: Samler interne forklaringer og definitioner, der anvendes af den finansielle enhed i registret, såsom betydningen af vurderingskategorier som "lav", "middel" og "høj."
Få styr på DORA compliance med skræddersyet softwareløsning
Skal din organisation leve op til kravene i DORA? Hos House of Control har vi udviklet softwareløsninger, der effektivt hjælper dig med at overholde DORA. Vi ser frem til at introducere dig til vores løsning. Book et møde her og lær mere om, hvordan vi kan hjælpe dig videre.
