Velkommen til vår blogg - House of Control

DORA: Slik hjelper vi deg få kontroll på tredjepartsrisiko

Skrevet av Marthe Fottland | 10.sep.2024 09:46:37

EUs DORA-regelverk setter krav til at finansforetak har et register over alle sine IKT-leverandører. Vi har utviklet en løsning sammen med en av Norges største finansinstitusjoner for å gjøre jobben riktig og effektivt.

Banker, forsikringsselskaper og andre finansforetak må ha full kontroll på sine IKT-leverandører når EUs DORA-regler trer i kraft 17. januar 2025. Med 20 års erfaring med kontraktshåndtering og leverandørstyring, er det naturlig at vi i House of Control nå bistår våre kunder med etterlevelse av DORAs fjerde pilar: Styring av tredjepartsrisiko. I samarbeid med en av Norges største finansinstitusjoner, utvikler vi en løsning som hjelper deg med å få full kontroll på dine leverandører.

Dette er tredjepartsrisiko

Om du leser denne artikkelen vet du sikkert allerede at Digital Operational Resilience Act (DORA) handler om at de aller fleste finansforetak nå må forholde seg til et felles sett med krav for IKT-sikkerhet. Det er fem pilarer av krav:

  1. Styring av IKT-risiko
  2. Håndtering av hendelser
  3. Testing av digital motstandsdyktighet
  4. Styring av tredjepartsrisiko
  5. Informasjonsdeling

Av de fem pilarene i DORA nevnt ovenfor, skal vi her se nærmere på den fjerde – om styring av tredjepartsrisiko knyttet til finansforetakenes IKT-leverandører. Forordningen har egne regler om leverandørstyring, i form av krav til foretakenes håndtering av risiko forbundet med bruk av tjenester fra tredjeparter. 

Før et finansforetak inngår avtale med en IKT-leverandør, må foretaket ha gjort en rekke vurderinger og undersøkelser knyttet til leverandøren. Det kan bare inngås avtaler med leverandører som etterlever relevante standarder for informasjonssikkerhet. 

DORA stiller krav til utforming av avtaler med IKT-leverandører. Avtalene skal for eksempel inneholde fullstendige beskrivelser av leveransene, krav til tjenestekvalitet, samarbeid med tilsynsmyndigheten, overvåking, oppsigelse og rapporteringskrav. 

DORA-krav

La oss se nærmere på de detaljerte kravene som stilles til finansforetakenes eksterne IKT-leveranser. DORA krever at foretaket skal ha følgende på plass:

  • En strategi for leverandørrisiko.
  • Et register med oversikt over bruk av tjenester fra IKT-leverandører og hvilke av tjenestene som understøtter kritiske eller viktige funksjoner.
  • På forespørsel gjøre registeret tilgjengelig for tilsynsmyndigheten. 
  • Rapportere minst årlig til tilsynsmyndigheten om nye avtaler som er inngått.
  • Informere tilsynsmyndigheten i rimelig tid om planlagte avtaler om IKT-tjenester som vil understøtte kritiske eller viktige funksjoner, samt når en funksjon har blitt kritisk eller viktig. 
  • En risikobasert tilnærming til bruk av tilgang, inspeksjon og revisjon hos leverandøren. Hyppigheten av revisjoner og inspeksjoner, samt hvilke områder som skal revideres, skal være forhåndsdefinert.
  • Vurderinger av om IKT-leverandøren vil være vanskelig å erstatte eller om flere av leveransene til foretaket vil bli konsentrert hos samme leverandør (skal gjøres før avtalen inngås).
  • Kost-nytte-vurderinger av alternative løsninger, så som bruk av andre leverandører. 
  • Vurdere betydningen av regelverk for insolvens og databeskyttelse som gjelder for leverandøren. 

Mer enn compliance - Systemet du trenger for å ha oversikt over dine leverandører og kontrakter

Å lage praktiske IKT-løsninger for etterlevelse av kompliserte regelverk er House of Control gode på, sier våre kunder. Vi har inngått et samarbeid med en av Norges største finansinstitusjoner for å utvikle en løsning tilpasset kravene i DORAs fjerde pilar – styring av tredjepartsrisiko knyttet til eksterne IKT-leverandører. 

Vårt system, Complete Control, vil tilby en løsning for registrering av informasjon knyttet til kontrakter, leverandører og underleverandører for styring av tredjepartsrisiko. Løsningen vil også hjelpe kundene våre med å registrere og holde oversikt over leverandørkjedene sine for alle kontrakter, inkludert de som er omfattet av DORA. 

I House of Control har vi nesten 2.000 kunder som bruker våre skybaserte løsninger til å profesjonalisere avtalehåndtering og leverandørstyring. Blant våre spissede løsninger finner du også verktøy for IFRS 16 leieavtaler, CSDDD leverandørundersøkelser og EBA register for outsourset fintech i banker. 

På tide å gjøre avtalehåndtering og leverandørstyring strategisk

I tillegg til å bistå med etterlevelse av DORA, hjelper vi deg med å ha oversikt over alle bedriftens avtaler, forpliktelser og leverandører, alt i ett og samme system. Du oppnår en rekke fordeler:

  • Brukervennlig og moden teknologi fra et solid selskap i Visma-familien. 
  • IKT-sikkerhet som oppfyller alle relevante standarder.
  • Varslinger før avtalene utløper, slik at alle betingelser kan bli reforhandlet i god tid. 
  • Oversikt over interne avtaleeiere, slik at dere blir mindre avhengig av enkeltpersoner. 
  • Betalingsplaner, som gjør det enkelt å oppfylle økonomiavdelingens krav til budsjettering. 
  • Rask tilgang til avtaledokumenter etterspurt av revisor og regnskapsfører. 
  • Muligheten til å utvide bruken til alle bedriftens avtaler og leverandører, inkludert for bruk til IFRS 16 og CSDDD. 

DORA kan føre til mer enn etterlevelse av regelverket. Avtalehåndtering og leverandørstyring er rett og slett av strategisk viktighet – muliggjort av smart teknologi fra House of Control hvor kundene har vært i førersetet for innovasjon i snart 20 år. 

Book en uformell prat med oss i kalenderen under!

 

 

 

 

 

 
Vis hele posten