Nå er «forskriften» på plass, med detaljer om hva som må registreres om IKT-leverandørene. Her er de 15 malene som må fylles ut for å oppfylle DORA-kravene til IKT-tjenesteavtaler – (EU) 2024/2956.
Finanstilsynet meldte ved inngangen til desember 2024 at EU-kommisjonen har vedtatt en delegert kommisjonsforordning (EU) 2024/2956 om en implementeringsteknisk standard for informasjonsregisteret for IKT-tjenesteavtaler. Såkalt nivå-2 regelverk.
Bak det juridiske språket skjuler det seg de detaljerte kravene som må oppfylles når det gjelder registrering av direkte IKT-leverandører og deres underleverandører. Disse er allerede beskrevet på et mer overordnet nivå i DORA-forordningen (EU) 2022/2554 om digital operasjonell motstandsdyktighet i finanssektoren. En delegert kommisjonsforordning er altså en konkretisering, og kan sammenlignes med en forskrift i norsk rett.
Vi har tidligere skrevet om at DORA setter krav til en risikobasert tilnærming når finansforetaket inngår avtaler med eksterne IKT-leverandører. Alle skal ha et register med oversikt over bruk av tjenester fra IKT-leverandører. Der skal det registreres hvilke av tjenestene som understøtter kritiske eller viktige funksjoner, og dette registeret må kunne vises frem til tilsynsmyndighetene.
Den delegerte kommisjonsforordningen altså er en presisering av DORAs Artikkel 28, som gjelder tredjeparts IKT-leveranser. Dette er den delen av DORA som House of Controls løsning dekker.
Sju artikler om registeret for IKT-leverandører
Det er til sammen sju artikler i den delegerte kommisjonsforordningen for DORAs krav til informasjonsregister for IKT-leverandører. Artikkel 1 består av definisjoner. Den viktigste er skillet mellom direkte IKT-tjenesteleverandører og underleverandører lenger ned i forsyningskjeden, som rangeres i Artikkel 2.
Artikkel 3 er kjernen i informasjonsregisteret, og den kommer med de generelle kravene som utdypes i de 15 malene lenger ned i denne saken. Den pålegger finansinstitusjonen å oppgi (nøyaktig, fullstendig og konsistent) informasjon om alle IKT-tjenester levert av direkte leverandører og underleverandører som støtter kritiske funksjoner. Her skal det brukes LEI eller EUID for å identifisere leverandørene, og registeret skal jevnlig gjennomgås og oppdateres.
LEI er en global, unik identifikator for juridiske enheter innen finans. Den består av en 20-sifret alfanumerisk kode, som kobles til nøkkelinformasjon om selskapet, som navn, adresse og registreringsland. EUID er en tilsvarende unik identifikator som brukes for selskaper registrert i EU, og som er knyttet til Business Registers Interconnection System (BRIS).
Artikkel 4 til 6 er tekniske beskrivelser av dataformatkrav, innhold i registeret og regler for konserner som rapporterer på konsolidert nivå.
Dette er de 15 malene som må fylles ut
Under DORA artikkel 28 må finansielle enheter føre en oversikt over alle avtaler med IKT-tjenesteleverandører. Dette gjøres ved å fylle ut 15 standardiserte maler som dekker ulike aspekter av disse avtalene. Under følger en forenklet forklaring på hver mal, hvor vi har beholdt referansen til hver enkelt mal (template).
Mens dette er beskrivelsen av hver mal, som nevnes i første del av Anneks 1, følger det nøyaktige instruksjoner for å fylle ut hver av de 15 malene i andre del. Alle sammen er beskrevet her.
- B_01.01 – Enhet som fører registeret: Identifiserer hvilken enhet som er ansvarlig for å oppdatere registeret, enten på individuelt nivå eller for hele konsernet.
- B_01.02 – Liste over enheter innenfor konsernet: Lister opp alle enheter som tilhører konsernet. Hvis den finansielle enheten ikke er del av et konsern, oppgis kun denne enheten.
- B_01.03 – Liste over filialer: Identifiserer filialene til de finansielle enhetene nevnt i B_01.02.
- B_02.01 – Avtaler – generell informasjon: Lister alle avtaler med eksterne IKT-tjenesteleverandører og tildeler hver avtale et unikt referansenummer.
- B_02.02 – Avtaler – spesifikk informasjon: Gir detaljer om hver avtale, inkludert hvilke IKT-tjenester som dekkes, hvilke funksjoner de støtter, og annen viktig informasjon som oppsigelsestid og gjeldende lovverk.
- B_02.03 – Liste over interne avtaler: Viser sammenhengen mellom interne avtaler og avtaler med eksterne IKT-tjenesteleverandører når de er del av samme tjenestekjede.
- B_03.01 – Enheter som signerer avtaler for å motta IKT-tjenester: Gir informasjon om hvilken enhet som signerer avtalen med IKT-tjenesteleverandøren på vegne av enheten som bruker tjenestene.
- B_03.02 – IKT-tjenesteleverandører som signerer avtalene: Identifiserer alle IKT-tjenesteleverandører som signerer avtalene for å levere tjenester.
- B_03.03 – Enheter som signerer avtaler for å levere IKT-tjenester internt: Identifiserer enheter innen konsernet som signerer avtaler for å levere IKT-tjenester til andre enheter i samme konsern.
- B_04.01 – Enheter som bruker IKT-tjenestene: Identifiserer alle enheter som bruker IKT-tjenester levert av eksterne leverandører, inkludert interne IKT-leverandører.
- B_05.01 – IKT-tjenesteleverandører: Lister og gir generell informasjon om direkte IKT-tjenesteleverandører, interne IKT-leverandører, underleverandører i leverandørkjeden, og deres ultimate morselskap.
- B_05.02 – IKT-tjenestekjede: Identifiserer og kobler sammen IKT-tjenesteleverandører som er del av samme tjenestekjede, og rangerer dem etter deres plass i kjeden.
- B_06.01 – Funksjonsidentifikasjon: Identifiserer og gir informasjon om funksjonene til den finansielle enheten som bruker IKT-tjenestene, inkludert en unik identifikator for hver kombinasjon av enhet, lisensiert aktivitet og funksjon.
- B_07.01 – Vurderinger av IKT-tjenestene: Inneholder informasjon om risikovurderingen av IKT-tjenestene, spesielt de som støtter kritiske eller viktige funksjoner.
- B_99.01 – Definisjoner fra enheter som bruker IKT-tjenestene: Samler interne forklaringer og definisjoner brukt av den finansielle enheten i registeret, for eksempel betydningen av vurderingskategorier som «lav» , «medium» og «høy».
