Bakgrunn

Hva er informasjonsregisteret?

Artikkel 28(3) i DORA krever at alle finansielle enheter i forordningens virkeområde opprettholder et informasjonsregister over alle kontraktsordninger med IKT-tredjepartsleverandører. Dette er ikke et policydokument eller en risikovurdering. Det er et strukturert datasett som registrerer alle IKT-tjenesteavtaler organisasjonen har, hvem som leverer dem, hvilke forretningsfunksjoner de støtter, og om disse funksjonene er kritiske eller viktige.

Formålet med registeret er todelt. For det første gir det den finansielle enheten selv en komplett oversikt over sitt IKT-avhengighetslandskap, noe som er avgjørende for konsentrasjonsrisikoanalyse under art. 29 og for det bredere rammeverket for tredjepartsrisikostyring under art. 28-44. For det andre gir det nasjonale tilsynsmyndigheter (NCAs) en standardisert måte å vurdere IKT-tredjepartsrisiko i finanssektoren.

Registeret skal opprettholdes til enhver tid, ikke settes sammen ad hoc når en tilsynsmyndighet ber om det. Art. 28(3) slår eksplisitt fast at registeret skal holdes oppdatert. Det betyr at det må gjenspeile gjeldende kontraktsordninger, oppdaterte leverandøropplysninger og aktuelle underleverandørkjeder. Endringer i noe av dette må reflekteres i registeret umiddelbart.

Formatet og innholdet i registeret er definert av gjennomføringsstandarder publisert av EBA, nærmere bestemt ITS 2024/2956. Denne standarden definerer de eksakte datafeltene, enhetstypene og relasjonene registeret må inneholde. Innleveringer til tilsynsmyndigheter må følge dette skjemaet.


Datakrav

Hvilke data må RoI inneholde?

ITS 2024/2956-skjemaet definerer informasjonsregisteret som et sett med koblede tabeller som dekker enheter, kontraktsordninger, IKT-tjenester, funksjoner og underleverandørrelasjoner. Datakravene er omfattende og spesifikke. Her er hovedkategoriene.

1
Enhetsidentifikasjon
LEI, navn, jurisdiksjon, enhetstype

Hver enhet som refereres til i registeret må identifiseres med en Legal Entity Identifier (LEI) der det er tilgjengelig, sammen med enhetsnavn, registreringsland og enhetstype. Dette gjelder den rapporterende finansielle enheten selv, alle IKT-leverandører og alle underleverandører i kjeden. LEI er primærnøkkelen som tilsynsmyndigheter bruker for å koble data på tvers av enheter og jurisdiksjoner.

2
Kontraktsordninger
Kontraktsdetaljer, datoer, gjeldende lov

Hver IKT-tredjepartsordning må registreres med kontraktsreferanse, startdato, sluttdato (eller om den er tidsubegrenset), fornyelsesvilkår, oppsigelsestid og gjeldende lov. Registeret må identifisere hvilke ordninger som gjelder kritiske eller viktige funksjoner (CIF-er) og flagge om ordningen kan substitueres. Disse dataene inngår direkte i konsentrasjonsrisikovurderinger og exit-planlegging under art. 28(8).

3
IKT-tjenester og funksjoner
Tjenestebeskrivelse, CIF-kartlegging, datalokasjoner

For hver kontraktsordning må registeret beskrive IKT-tjenestene som leveres og kartlegge dem mot forretningsfunksjonene de støtter. Når den støttede funksjonen er en kritisk eller viktig funksjon, må dette flagges eksplisitt. Registeret må også registrere hvor data behandles og lagres, inkludert spesifikke land og om personopplysninger er involvert. Dette er avgjørende for å vurdere dataresidenskrav og grensekryssende risiko.

4
Underleverandørkjeder
Underleverandører, kjededybde, CIF-involvering

Når en IKT-leverandør utkontrakterer deler av tjenesten, må registeret fange opp hele underleverandørkjeden. Hver underleverandør må identifiseres (LEI, navn, jurisdiksjon), og registeret må registrere hvilke deler av tjenesten som er utkontraktert og om den utkontrakterte tjenesten støtter en kritisk eller viktig funksjon. Art. 29(2) krever at enheter vurderer risikoene som oppstår fra disse kjedene, og registeret gir datagrunnlaget for å gjøre dette.


Viktige datoer

Innleveringstidslinje og tilsynskrav

Informasjonsregisteret har en definert innleveringshistorikk og løpende forpliktelser som finansielle enheter må kjenne til.

17. januar 2025
Gjennomført
DORA ble gjeldende
Alle DORA-forpliktelser trådte i kraft, inkludert kravet om å opprettholde informasjonsregisteret til enhver tid under art. 28(3). Enheter var forventet å ha sine registre utfylt og klare for tilsynsgjennomgang fra denne datoen.
30. april 2025
Gjennomført
Første innleveringsfrist til tilsynsmyndigheter
Den første referansedatoen for innlevering av informasjonsregisteret til nasjonale tilsynsmyndigheter. Enheter leverte sitt komplette register i ITS 2024/2956-format. Dette var den første store DORA-rapporteringsmilepælen og synliggjorde datakvalitetsutfordringer i sektoren.
Løpende
Kontinuerlig
Vedlikehold og innlevering på forespørsel
Registeret skal opprettholdes til enhver tid og leveres til tilsynsmyndigheten på forespørsel. Noen tilsynsmyndigheter har etablert årlige innleveringssykluser, vanligvis med referansedato 31. desember og innlevering i Q1 det påfølgende året. Din tilsynsmyndighet kan også be om ad hoc-innleveringer som del av tilsynsgjennomganger eller tematiske undersøkelser. Registeret bør alltid være klart for innlevering.

Praktiske utfordringer

Vanlige utfordringer

Å bygge og vedlikeholde informasjonsregisteret er et av de mer operasjonelt krevende DORA-kravene. Basert på erfaringene fra den første innleveringsrunden er dette de vanligste problemene som oppstår.

Data Datainnsamling
Innhenting av LEI-koder for alle leverandører og underleverandører, hvorav mange kanskje ikke har en LEI eller har flere enheter under ulike LEI-er
Identifisering av alle IKT-tredjepartsordninger, inkludert skygge-IT og uformelle ordninger som innkjøp kanskje ikke har oversikt over
Innhenting av informasjon om underleverandørkjeder fra leverandører som kan være motvillige eller trege med å utlevere sine underleverandørdetaljer
Kartlegging Funksjons- og tjenestekartlegging
Kartlegging av IKT-tjenester mot kritiske eller viktige funksjoner de støtter, særlig der en enkelt leverandør støtter flere funksjoner eller en funksjon avhenger av flere leverandører
Fastsettelse av riktig CIF-klassifisering for hver funksjon, noe som krever innspill fra både forretnings- og IT-interessenter
Nøyaktig registrering av datalokasjoner, særlig for skytjenester som kan behandle data i flere regioner
Kvalitet Validering og datakvalitet
Bestå de 85+ EBA-valideringsreglene som sjekker datakomplettering, formatkorrekthet, kryssfelt-konsistens og referanseintegritet på tvers av de koblede tabellene
Opprettholde datakvalitet over tid ettersom kontrakter endres, leverandører fusjonerer og underleverandørordninger utvikler seg
Sammenstilling av data fra flere interne kilder (innkjøp, juridisk, IT, forretningsenheter) til et enkelt konsistent register

Plattform

Hvordan bygge og vedlikeholde ditt RoI

Informasjonsregisteret er ikke en engangsleveranse. Det er et kontinuerlig vedlikeholdt datasett som må være nøyaktig, komplett og klart for innlevering til enhver tid. Den mest effektive tilnærmingen er å bruke et dedikert verktøy som strukturerer dataene i henhold til ITS-skjemaet fra starten.

ITS 2024/2956-skjema innebygd

DORA GRC strukturerer informasjonsregisteret i henhold til EBA ITS 2024/2956-skjemaet nativt. Enhetstyper, relasjonstyper og datafelt samsvarer nøyaktig med standarden. Du legger inn data en gang, og registeret fylles ut automatisk. Ingen regneark-kartlegging nødvendig.

85-reglers valideringsmotor

Før du leverer til din tilsynsmyndighet, kjør den innebygde valideringsmotoren. Den sjekker alle 85+ EBA-regler for komplettering, format, kryssreferanser og logisk konsistens. Feil flagges med spesifikk regelreferanse og tydelig beskrivelse av hva som må rettes. Dette forhindrer avvisning eller merarbeid etter innlevering.

Leverandør- og underleverandørhåndtering

Leverandørregisteret inngår direkte i RoI. Når du legger til en leverandør, oppdaterer en kontrakt eller registrerer en underleverandørkjede, oppdateres registeret automatisk. Konsentrasjonsrisikoanalyse (art. 29) bruker de samme dataene, så det er ingen duplisering. Les mer om DORA tredjepartsrisikostyring.

Eksport i innleveringsformat

Eksporter det komplette informasjonsregisteret som en EBA-formatert fil klar for innlevering til tilsynsmyndigheten. Eksporten inkluderer alle koblede tabeller, enhetsidentifikatorer og relasjonsreferanser i den strukturen din tilsynsmyndighet forventer. For en bredere oversikt over DORA compliance-krav, se vår komplette veileder.

For en full liste over funksjoner på tvers av alle fem pilarer, se funksjonssiden.

Ofte stilte spørsmål

FAQ om informasjonsregisteret

Hva er DORA informasjonsregisteret?
DORA informasjonsregisteret er et strukturert datasett som finansielle enheter må opprettholde i henhold til art. 28(3) i EU-forordning 2022/2554. Det registrerer alle kontraktsordninger med IKT-tredjepartsleverandører, inkludert hvilke forretningsfunksjoner de støtter, om disse funksjonene er kritiske eller viktige, og underleverandørkjedene som er involvert. Formatet er definert av EBA ITS 2024/2956 og må leveres til nasjonale tilsynsmyndigheter på forespørsel. Det fungerer både som et internt styringsverktøy for å forstå IKT-avhengigheter og som en tilsynsrapporteringsmekanisme.
Når er fristen for RoI-innlevering?
Den første innleveringen av informasjonsregisteret til tilsynsmyndigheter hadde frist 30. april 2025. Fremover må enheter opprettholde registeret til enhver tid og levere det på forespørsel. Noen tilsynsmyndigheter har etablert årlige innleveringssykluser, vanligvis med referansedato 31. desember og innlevering i Q1 det påfølgende året. Ad hoc-forespørsler fra tilsynsmyndigheter kan komme når som helst, så registeret må alltid være klart for innlevering. Sjekk med din spesifikke tilsynsmyndighet for deres innleveringskalender og eventuelle tilleggskrav.
Hvilke data krever informasjonsregisteret?
RoI krever data på tvers av flere koblede kategorier som definert av ITS 2024/2956. Dette inkluderer: enhetsidentifikasjon (LEI-koder, navn, jurisdiksjoner) for den rapporterende enheten, alle leverandører og alle underleverandører; kontraktsdetaljer (referansenumre, datoer, gjeldende lov, substituerbarhet); IKT-tjenestebeskrivelser og hvordan de kartlegges mot forretningsfunksjoner; klassifisering av kritiske eller viktige funksjoner; datalagrings- og behandlingslokasjoner; og den fullstendige underleverandørkjeden for hver ordning. Skjemaet inneholder over 80 felt fordelt på flere koblede tabeller. Hvert felt har spesifikke formatkrav som sjekkes av EBA-valideringsreglene.
Hvordan validerer jeg mitt RoI før innlevering?
EBA har publisert 85+ valideringsregler som sjekker datakomplettering, formatkorrekthet, kryssfelt-konsistens og referanseintegritet på tvers av de koblede tabellene. Du bør kjøre disse sjekkene før hver innlevering. Vanlige valideringsfeil inkluderer manglende LEI-koder, inkonsistente enhetsreferanser på tvers av tabeller, feil datoformater og foreldreløse relasjoner der en underleverandøroppføring refererer til en kontrakt som ikke finnes. Dedikert DORA-programvare som DORA GRC inkluderer en innebygd valideringsmotor som kjører alle sjekker automatisk, flagger feil med spesifikk regelreferanse og gir veiledning om hvordan hvert problem kan løses. Manuell validering med regneark er mulig, men feilutsatt gitt antallet og kompleksiteten i reglene.