Hva er informasjonsregisteret?
Artikkel 28(3) i DORA krever at alle finansielle enheter i forordningens virkeområde opprettholder et informasjonsregister over alle kontraktsordninger med IKT-tredjepartsleverandører. Dette er ikke et policydokument eller en risikovurdering. Det er et strukturert datasett som registrerer alle IKT-tjenesteavtaler organisasjonen har, hvem som leverer dem, hvilke forretningsfunksjoner de støtter, og om disse funksjonene er kritiske eller viktige.
Formålet med registeret er todelt. For det første gir det den finansielle enheten selv en komplett oversikt over sitt IKT-avhengighetslandskap, noe som er avgjørende for konsentrasjonsrisikoanalyse under art. 29 og for det bredere rammeverket for tredjepartsrisikostyring under art. 28-44. For det andre gir det nasjonale tilsynsmyndigheter (NCAs) en standardisert måte å vurdere IKT-tredjepartsrisiko i finanssektoren.
Registeret skal opprettholdes til enhver tid, ikke settes sammen ad hoc når en tilsynsmyndighet ber om det. Art. 28(3) slår eksplisitt fast at registeret skal holdes oppdatert. Det betyr at det må gjenspeile gjeldende kontraktsordninger, oppdaterte leverandøropplysninger og aktuelle underleverandørkjeder. Endringer i noe av dette må reflekteres i registeret umiddelbart.
Formatet og innholdet i registeret er definert av gjennomføringsstandarder publisert av EBA, nærmere bestemt ITS 2024/2956. Denne standarden definerer de eksakte datafeltene, enhetstypene og relasjonene registeret må inneholde. Innleveringer til tilsynsmyndigheter må følge dette skjemaet.
Hvilke data må RoI inneholde?
ITS 2024/2956-skjemaet definerer informasjonsregisteret som et sett med koblede tabeller som dekker enheter, kontraktsordninger, IKT-tjenester, funksjoner og underleverandørrelasjoner. Datakravene er omfattende og spesifikke. Her er hovedkategoriene.
Hver enhet som refereres til i registeret må identifiseres med en Legal Entity Identifier (LEI) der det er tilgjengelig, sammen med enhetsnavn, registreringsland og enhetstype. Dette gjelder den rapporterende finansielle enheten selv, alle IKT-leverandører og alle underleverandører i kjeden. LEI er primærnøkkelen som tilsynsmyndigheter bruker for å koble data på tvers av enheter og jurisdiksjoner.
Hver IKT-tredjepartsordning må registreres med kontraktsreferanse, startdato, sluttdato (eller om den er tidsubegrenset), fornyelsesvilkår, oppsigelsestid og gjeldende lov. Registeret må identifisere hvilke ordninger som gjelder kritiske eller viktige funksjoner (CIF-er) og flagge om ordningen kan substitueres. Disse dataene inngår direkte i konsentrasjonsrisikovurderinger og exit-planlegging under art. 28(8).
For hver kontraktsordning må registeret beskrive IKT-tjenestene som leveres og kartlegge dem mot forretningsfunksjonene de støtter. Når den støttede funksjonen er en kritisk eller viktig funksjon, må dette flagges eksplisitt. Registeret må også registrere hvor data behandles og lagres, inkludert spesifikke land og om personopplysninger er involvert. Dette er avgjørende for å vurdere dataresidenskrav og grensekryssende risiko.
Når en IKT-leverandør utkontrakterer deler av tjenesten, må registeret fange opp hele underleverandørkjeden. Hver underleverandør må identifiseres (LEI, navn, jurisdiksjon), og registeret må registrere hvilke deler av tjenesten som er utkontraktert og om den utkontrakterte tjenesten støtter en kritisk eller viktig funksjon. Art. 29(2) krever at enheter vurderer risikoene som oppstår fra disse kjedene, og registeret gir datagrunnlaget for å gjøre dette.
Innleveringstidslinje og tilsynskrav
Informasjonsregisteret har en definert innleveringshistorikk og løpende forpliktelser som finansielle enheter må kjenne til.
Vanlige utfordringer
Å bygge og vedlikeholde informasjonsregisteret er et av de mer operasjonelt krevende DORA-kravene. Basert på erfaringene fra den første innleveringsrunden er dette de vanligste problemene som oppstår.
Hvordan bygge og vedlikeholde ditt RoI
Informasjonsregisteret er ikke en engangsleveranse. Det er et kontinuerlig vedlikeholdt datasett som må være nøyaktig, komplett og klart for innlevering til enhver tid. Den mest effektive tilnærmingen er å bruke et dedikert verktøy som strukturerer dataene i henhold til ITS-skjemaet fra starten.
ITS 2024/2956-skjema innebygd
DORA GRC strukturerer informasjonsregisteret i henhold til EBA ITS 2024/2956-skjemaet nativt. Enhetstyper, relasjonstyper og datafelt samsvarer nøyaktig med standarden. Du legger inn data en gang, og registeret fylles ut automatisk. Ingen regneark-kartlegging nødvendig.
85-reglers valideringsmotor
Før du leverer til din tilsynsmyndighet, kjør den innebygde valideringsmotoren. Den sjekker alle 85+ EBA-regler for komplettering, format, kryssreferanser og logisk konsistens. Feil flagges med spesifikk regelreferanse og tydelig beskrivelse av hva som må rettes. Dette forhindrer avvisning eller merarbeid etter innlevering.
Leverandør- og underleverandørhåndtering
Leverandørregisteret inngår direkte i RoI. Når du legger til en leverandør, oppdaterer en kontrakt eller registrerer en underleverandørkjede, oppdateres registeret automatisk. Konsentrasjonsrisikoanalyse (art. 29) bruker de samme dataene, så det er ingen duplisering. Les mer om DORA tredjepartsrisikostyring.
Eksport i innleveringsformat
Eksporter det komplette informasjonsregisteret som en EBA-formatert fil klar for innlevering til tilsynsmyndigheten. Eksporten inkluderer alle koblede tabeller, enhetsidentifikatorer og relasjonsreferanser i den strukturen din tilsynsmyndighet forventer. For en bredere oversikt over DORA compliance-krav, se vår komplette veileder.
For en full liste over funksjoner på tvers av alle fem pilarer, se funksjonssiden.