"Förordningen" är nu på plats och anger vilken information som måste registreras om IKT-leverantörer. Här är de 15 mallar som måste checkas av för att uppfylla DORA-kraven för IKT-tjänsteavtal – (EU) 2024/2956.
Europeiska kommissionen har antagit en delegerad förordning (EU) 2024/2956 om en teknisk genomförandestandard som rör informationsregistret för ICT-tjänsteavtal. Detta kallas för nivå 2-lagstiftning.
Bakom det juridiska språket ligger de detaljerade kraven för registrering av direkta IKT-leverantörer och deras underleverantörer. Dessa har redan beskrivits på en högre nivå i DORA-förordningen (EU) 2022/2554 om digital operativ motståndskraft i den finansiella sektorn. En delegerad förordning är därför en specifikation och kan jämföras med en förordning i norsk lag.
Vi har tidigare skrivit att DORA kräver ett riskbaserat förhållningssätt när finansiella institutioner ingår avtal med externa IKT-leverantörer. Alla institutioner måste föra ett register med en översikt över de tjänster som tillhandahålls av IKT-leverantörer. Registret ska dokumentera vilka tjänster som stöder kritiska eller viktiga funktioner, och det ska vara tillgängligt för inspektion av tillsynsmyndigheterna.
Den delegerade förordningen förtydligar artikel 28 i DORA, och det är där vi hittar krav på IKT-leveranser från tredje part. Detta är den del av DORA som omfattas av House of Controls lösning.
Den delegerade förordningen om DORA:s krav på informationsregistret för IKT-leverantörer består av sju artiklar. Artikel 1 innehåller definitioner, där den viktigaste skillnaden är mellan direkta leverantörer av IKT-tjänster och underleverantörer längre ned i leveranskedjan, som rangordnas i artikel 2.
Artikel 3 utgör kärnan i informationsregistret och beskriver de allmänna kraven som beskrivs närmare i de 15 mallarna nedan. Den ger finansinstitut mandat att tillhandahålla (korrekt, fullständig och konsekvent) information om alla IKT-tjänster som tillhandahålls av direkta leverantörer och underleverantörer som stöder kritiska funktioner. LEI eller EUID måste användas för att identifiera leverantörer, och registret måste regelbundet ses över och uppdateras.
LEI är en global, unik identifierare för juridiska personer inom finansbranschen. Den består av en 20-siffrig alfanumerisk kod kopplad till viktig information om enheten, såsom dess namn, adress och registreringsland. EUID är en liknande unik identifierare som används för företag som är registrerade i EU och som är anslutna till BRIS (Business Registers Interconnection System).
Artiklarna 4–6 innehåller tekniska beskrivningar av kraven på dataformat, registrets innehåll och regler för grupper som rapporterar på konsoliderad basis.
Enligt artikel 28 i DORA måste finansiella institutioner ha en överblick över alla avtal med leverantörer av IKT-tjänster. Detta görs genom att fylla i 15 standardiserade mallar som täcker olika aspekter av dessa avtal. Nedan följer en förenklad förklaring av varje mall, innehållande en referens till var och en.
Även om det rör sig om beskrivningar av varje mall som nämns i den första delen av bilaga 1, finns exakta instruktioner för hur alla 15 mallarna ska fyllas i, i den andra delen. De beskrivs alla här:
B_01.01 – Enhet som upprätthåller registret: Identifierar den enhet som ansvarar för att uppdatera registret, antingen på individnivå eller för hela koncernen.
B_01.02 – Lista över enheter inom gruppen: Listar alla enheter som tillhör gruppen. Om den finansiella enheten inte är en del av en grupp listas endast den enheten.
B_01.03 – Lista över filialer: Identifierar filialerna till de finansiella enheter som nämns i B_01.02.
B_02.01 – Avtal – allmän information: Listar alla avtal med externa IKT-tjänsteleverantörer och tilldelar varje avtal ett unikt referensnummer.
B_02.02 – Avtal – specifik information: Ger detaljer om varje avtal, inklusive de IKT-tjänster som omfattas, de funktioner de stöder och annan viktig information som uppsägningsperiod och tillämplig lagstiftning.
B_02.03 – Lista över interna avtal: Visar sambandet mellan interna avtal och avtal med externa IKT-tjänsteleverantörer när de är en del av samma tjänstekedja.
B_03.01 – Enheter som undertecknar avtal för att ta emot IKT-tjänster: Ger information om vilken enhet som undertecknar avtalet med IKT-tjänsteleverantören på uppdrag av den enhet som använder tjänsterna.
B_03.02 – IKT-tjänsteleverantörer som undertecknar avtalen: Identifierar alla IKT-tjänsteleverantörer som undertecknar avtalen för att leverera tjänster.
B_03.03 – Enheter som undertecknar avtal för att leverera IKT-tjänster internt: Identifierar enheter inom koncernen som undertecknar avtal om att leverera IKT-tjänster till andra enheter inom samma grupp.
B_04.01 – Enheter som använder IKT-tjänster: Identifierar alla enheter som använder IKT-tjänster som tillhandahålls av externa leverantörer, inklusive interna IKT-leverantörer.
B_05.01 – Leverantörer av IKT-tjänster: Förtecknar och tillhandahåller allmän information om direkta leverantörer av IKT-tjänster, interna IKT-leverantörer, underleverantörer i leveranskedjan och deras yttersta moderbolag.
B_05.02 – IKT-tjänstekedja: Identifierar och länkar samman IKT-tjänsteleverantörer som ingår i samma tjänstekedja och rangordnar dem efter deras position i kedjan.
B_06.01 – Funktionsidentifiering: Identifierar och tillhandahåller information om funktionerna i den finansiella enheten med hjälp av IKT-tjänsterna, inklusive en unik identifierare för varje kombination av enhet, licensierad aktivitet och funktion.
B_07.01 – Bedömningar av IKT-tjänster: Innehåller information om riskbedömning av IKT-tjänster, särskilt de som stöder kritiska eller viktiga funktioner.
B_99.01 – Definitioner från enheter som använder IKT-tjänsterna: Sammanställer interna förklaringar och definitioner som används av den finansiella enheten i registret, t.ex. innebörden av bedömningskategorier som "låg", "medel" och "hög".