I et webinar kommer Finanstilsynet med konkret veiledning til hvordan norske finansforetak kan oppfylle DORA-kravene til registrering av IKT-tjenesteleverandører.
Digital Operational Resilience Act (DORA) har trådt i kraft i EU (17. januar 2025) og blir snart en del av norsk lov. Krav til registeret med oversikt over alle finansforetakets IKT-tjenesteleverandører er en sentral del av lovgivningen. Den tekniske betegnelsen for registeret er Register of Information (RoI).
Finanstilsynet har publisert et webinar om DORA hvor spesialrådgiver Arild Tømmerås går i detalj om kravene til RoI, inkludert konkrete tips til hvordan finansforetakene skal oppfylle kravene.
Det skal rapporteres for 2025 i 2026
Kravet om et leverandørregister følger av DORAs artikkel 28, nummer 3. Registeret må være på plass når DORA implementeres i norsk rett, og fra det tidspunktet kan Finanstilsynet etterspørre innholdet i registeret. Innrapportering av registeret som grunnlag for utpeking av kritiske IKT-tjenestelevandører på EU-/EØS-nivå skal skje på nyåret 2026.
– For foretakene blir det ikke krav til slik rapportering i 2025, men det blir rapportering for 2025, som betyr at man rapporterer i 2026 for kalenderåret 2025. Men Finanstilsynet kan etterspørre registeret fra det tidspunkt loven trår i kraft. De tidspunktene vi vet, er at Finanstilsynet skal rapportere videre til de europeiske finanstilsynsmyndighetene (ESA-ene) innen 31. mars første gang i 2026, og slik hvert år deretter, sier Tømmerås.
Han begynner med å gjøre klart at registeret
- skal inneholde alle avtaler med IKT-tjenesteleverandører.
- må kunne skille ut de avtalene som understøtter funksjoner som er viktige eller kritiske for foretaket.
- skal vedlikeholdes og til enhver tid være oppdatert.
– Registeret har i bunn og grunn tre målsettinger: At foretakene selv skal ha tilstrekkelig informasjonsgrunnlag for å kunne vurdere sin egen IKT-leverandørrisiko, at dataene enkelt skal kunne overføres til Finanstilsynet, og at Finanstilsynet kan avdekke konsentrasjonsrisiko på tvers av finanssektoren. Det er derfor nødvendig å føre inn alle IKT-tjenesteavtaler i registeret, ikke bare de som er kritiske og viktige, sier Tømmerås.
Dette skal rapporteres til Finanstilsynet hvert år
Hvert år skal finansforetakene som omfattes av DORA rapportere til Finanstilsynet om endringer på leverandørsiden. Dette omfatter:
- Nye avtaler, kategorier av nye leverandører, og hvilke typer av IKT-tjenester som leveres.
- Alle kritiske og viktige IKT-tjenesteavtaler. Hva som er kritisk og viktig, må foretakene selv vurdere.
- Foretakenes register for det foregående året, altså fra januar til og med desember, og verktøy og format vil være XBRL CSV.
– Foretaket skal rapportere alle kritiske og viktige IKT-tjenesteavtaler for foregående år, men hva som er kritisk og viktig, må foretakene selv vurdere. DORA forholder seg nå kun til tjenesteavtaler, som er litt ulikt det vi hadde før, da man gjerne snakket om utkontrakteringer, sier Tømmerås.
Hvordan rapporteringsplikten utarter seg i et konsern avhenger av om konsernets ultimate morselskap er i Norge eller i et EU/EØS-land. Det skal foreligge et register på hvert konsernnivå, og i tillegg skal konsernet ha konsoliderte registre. DORA regulerer bare konsern, ikke grupper eller allianser.
I tillegg til nevnte rapporteringskrav skal foretakene i god tid også informere Finanstilsynet om planlagte kritiske eller viktige IKT-tjenesteavtaler, samt på forespørsel rapportere hele eller angitte deler av registeret.
Detaljerte krav til rapporteringen
Alle finansielle enheter som skal rapportere, må ha et LEI-nummer (Legal Entity Identifier). IKT-tjenesteleverandører kan enten ha et EUID eller LEI-nummer. Har en leverandør begge deler, skal begge IDer rapporteres. Er leverandøren hjemmehørende utenfor EU/EØS, må leverandøren ha et LEI-nummer.
– Registeret skal inneholde IKT-leverandører nedover i kjeden, helt til man ikke har leverandører som kan sies å være avgjørende for leveransen av den kritiske eller viktige tjenesten som de understøtter. Det handler om rank 1, rank 2 osv., sier Tømmerås.
Foretakene skal rapportere til Finanstilsynet, som igjen vil rapportere videre til de europeiske tilsynsmyndighetene (ESA-ene). All informasjon havner i et system som heter Euclid, og Finanstilsynet vil kunne hente tilbake den informasjonen som er rapportert om foretak i Norge av konsern i andre EU/EØS-land.
– Begynn forberedelser og rapportering tidlig!
Tømmerås anbefaler foretakene å begynne tidlig, slik at man har tid til flere runder før endelig rapportering er klar. Han anbefaler også å etablere rutiner for å oppdatere leverandørinformasjon fortløpende.
– Man bør følge opp leverandører i rank 1, slik at de i tide fremskaffer informasjon om sine underleverandører. Man bør etablere prosesser for å oppdatere leverandørinformasjon kontinuerlig, og sørge for at alle leverandører har LEI- eller EUID-nummer.
– Det kan oppstå en periode med korrigeringer og rettelser etter første rapportering. Det er derfor lurt å sette av tid og ressurser til å få registret riktig med en gang, sier han.
