DORAs tredjepartsrammeverk
Art. 28 til 44 i DORA etablerer det mest omfattende regulatoriske rammeverket for IKT-tredjepartsrisikostyring i EUs finanssektor. Forordningen anerkjenner at finansielle enheter i stor grad er avhengige av eksterne IKT-tjenesteleverandører for kritiske operasjoner, og at denne avhengigheten skaper risiko som må styres systematisk.
Rammeverket dekker hele livssyklusen til IKT-tredjepartsforhold. Det starter med kravet om å vedlikeholde et komplett informasjonsregister over alle IKT-avtaler (art. 28(3)). Videre fastsetter det forpliktelser for forhåndsvurdering, obligatoriske kontraktsklausuler (art. 30), løpende overvåking, vurdering av konsentrasjonsrisiko (art. 29), tilsyn med videre-utsettingskjeder (art. 29(2)) og planlegging av exit-strategier (art. 28(8)). For de mest systemviktige leverandørene etablerer forordningen et direkte EU-tilsynsregime gjennom utpeking av kritiske IKT-tredjepartsleverandører (CTPP) (art. 31–44).
Dette er ikke et lettvint regime. DORAs tredjepartskrav går vesentlig lenger enn tidligere EU-regler for utsetting i finanssektoren. Overgangen fra retningslinjer til bindende forordning, de strukturerte datakravene i informasjonsregisteret og innføringen av direkte tilsyn med CTPP-er representerer et paradigmeskifte i hvordan IKT-leverandørforhold styres.
Leverandørregister og forhåndsvurdering
Art. 28 er fundamentet i DORAs tredjepartsrammeverk. Den krever at finansielle enheter styrer IKT-tredjepartsrisiko som en integrert del av det overordnede IKT-risikostyringsrammeverket. Det betyr at leverandørforhold ikke skal behandles som innkjøpsposter, men som risikobærende avhengigheter som krever aktiv styring.
Kjerneforpliktelsen under art. 28(3) er informasjonsregisteret. Hver finansiell enhet må vedlikeholde et strukturert register over alle kontraktsavtaler med IKT-tredjepartsleverandører, i formatet definert av ITS 2024/2956. Registeret skal holdes oppdatert til enhver tid og innsendes til tilsynsmyndigheten på forespørsel. Første innleveringsfrist var 30. april 2025. For en detaljert guide om oppbygging og vedlikehold av registeret, se vår guide til informasjonsregisteret.
Før inngåelse av avtale med en IKT-leverandør som støtter en kritisk eller viktig funksjon (CIF), må enheten gjennomføre en grundig risikovurdering. Denne skal omfatte leverandørens evne til å oppfylle kontraktskravene, avtalens innvirkning på enhetens operasjonelle motstandsdyktighet, og hvorvidt avtalen medfører uakseptabel konsentrasjonsrisiko. Art. 28(4) krever at vurderingene dokumenteres og er tilgjengelige for tilsynsmyndighetens gjennomgang.
Art. 28(5) krever at ledelsesorganet informeres minst årlig om risiko identifisert fra IKT-tredjepartsavtaler, herunder nye avtaler, resultater fra risikovurderinger og status for konsentrasjonsrisiko. Dette er ikke en delegerbar forpliktelse. Ledelsesorganet må ha direkte innsyn i tredjepartsrisikoen knyttet til IKT.
Kontraktskrav
Art. 30 fastsetter de obligatoriske kontraktsklausulene som må inngå i alle IKT-tredjepartsavtaler som støtter kritiske eller viktige funksjoner. Klausulene er ikke valgfrie og kan ikke frafalles, selv der leverandøren har betydelig forhandlingsmakt.
For eksisterende kontrakter som ble inngått før DORA, bør enheter gjennomføre en gap-analyse mot art. 30(2) og forhandle frem endringer der klausuler mangler. For nye kontrakter bør klausulene inkluderes fra start. Kontraktsmaler og klausulsporing er tilgjengelig i DORA GRCs leverandørstyringsmodul.
Vurdering av konsentrasjonsrisiko
Art. 29 krever at finansielle enheter vurderer konsentrasjonsrisikoen som oppstår fra IKT-tredjepartsavtaler. Konsentrasjonsrisiko oppstår når en enhet er for avhengig av én leverandør, eller et lite antall leverandører, for tjenester som støtter kritiske eller viktige funksjoner.
Vurderingen bør ta hensyn til flere dimensjoner. Hvor mange kritiske funksjoner avhenger av en enkelt leverandør? Kan leverandøren erstattes, og hvor raskt? Hva er den geografiske konsentrasjonen av databehandlingen? Hvordan er leverandørens finansielle stabilitet og markedsposisjon? Hva ville skje dersom leverandøren opplevde et alvorlig driftsavbrudd, gikk konkurs eller avsluttet virksomheten i EU?
Konsentrasjonsrisiko er ikke begrenset til direkte leverandørforhold. Art. 29(2) krever at enheter tar hensyn til videre-utsettingskjedene under sine direkte leverandører. Dersom flere leverandører i siste instans er avhengige av samme underleverandør for en kritisk komponent (for eksempel en felles skyleverandør), har enheten en indirekte konsentrasjonsrisiko som må identifiseres og styres.
Resultatene av konsentrasjonsrisikovurderingen skal rapporteres til ledelsesorganet minst årlig etter art. 28(5). Der uakseptabel konsentrasjon identifiseres, bør enheten utvikle risikoreduserende strategier, som kan inkludere identifisering av alternative leverandører, diversifisering av avtaler på tvers av leverandører eller styrking av exit-planer. For en bredere oversikt over DORA compliance-krav på tvers av alle fem pilarer, se vår komplette guide.
Videre-utsettingskjeder
DORA krever at finansielle enheter ser ut over sine direkte leverandørforhold og forstår hele kjeden av videre-utsetting. Når din skyleverandør bruker et annet selskap til datasenteroperasjoner, og det selskapet bruker en tredjepart til nettverkstilkobling, representerer hvert ledd i kjeden en avhengighet som kan påvirke din operasjonelle motstandsdyktighet.
Art. 29(2) krever spesifikt at enheter vurderer risikoen knyttet til videre-utsettingsavtaler der den videre-utsatte tjenesten støtter en kritisk eller viktig funksjon. Du må vite hvem leverandørenes underleverandører er, hvilke tjenester de leverer, hvor de er lokalisert, og om de kan erstattes.
Kontraktsklausuler etter art. 30(2)(h) krever at leverandører varsler enheten før videre-utsetting av noen del av tjenesten, og enheten skal ha rett til å motsette seg dette. I praksis forutsetter synlighet i videre-utsettingskjedene løpende dialog med leverandørene og strukturert datainnhenting.
Informasjonsregisteret skal fange opp hele videre-utsettingskjeden for hver avtale, inkludert identifisering av underleverandører (LEI, navn, jurisdiksjon), de videre-utsatte tjenestene, og hvorvidt disse tjenestene støtter en CIF. Disse dataene inngår i både konsentrasjonsrisikovurderingen og innrapporteringen til tilsynsmyndigheten.
Exit-strategier
Art. 28(8) krever at finansielle enheter utarbeider og vedlikeholder exit-strategier for alle IKT-tredjepartsavtaler som støtter kritiske eller viktige funksjoner. En exit-strategi er en dokumentert plan for hvordan enheten vil gjennomføre en overgang bort fra en leverandør dersom forholdet må avsluttes, enten som følge av kontraktsoppsigelse, leverandørsvikt, regulatorisk inngripen eller et valg om å bytte leverandør.
Exit-strategien skal være realistisk og gjennomførbar. Den bør dekke datamigrering (hvordan data skal hentes ut, hvor de skal overføres, og tidsrammen), tjenestekontinuitet i overgangsperioden, identifisering av alternative leverandører eller interne kapasiteter, nødvendige ressurser for migrering, og forventet tidsplan. Strategien bør gjennomgås jevnlig og oppdateres når forholdene endrer seg.
Exit-strategier er spesielt viktige for avtaler som dekker kritiske funksjoner og der leverandøren har betydelig markedsmakt eller der muligheten for substitusjon er begrenset. Dersom konsentrasjonsrisikovurderingen identifiserer en leverandør som ville være vanskelig å erstatte, må exit-strategien adressere dette eksplisitt.
DORA GRC inkluderer en exit-planmodul som kobler exit-strategier til leverandørregisteret, kontraktsregisteret og dashbordet for konsentrasjonsrisiko. Hver exit-plan dokumenterer fremgangsmåte for overgang, alternative leverandører, tidslinje og ressursbehov, og spores sammen med den tilhørende kontraktsavtalen.
Kritiske IKT-tredjepartsleverandører (CTPP)
Art. 31 til 44 etablerer et direkte EU-tilsynsrammeverk for IKT-tjenesteleverandører som utpekes som kritiske IKT-tredjepartsleverandører (CTPP-er). Dette er en betydelig nyvinning i EU-finansreguleringen: for første gang blir teknologiselskaper som betjener finanssektoren underlagt direkte regulatorisk tilsyn, ikke bare indirekte gjennom finansielle enheter de betjener.
ESA-ene (EBA, ESMA, EIOPA) utpeker CTPP-er basert på den systemiske betydningen av tjenestene de leverer. Kriteriene inkluderer antallet og typen finansielle enheter som er avhengige av leverandøren, hvor kritiske funksjoner som støttes er, og i hvilken grad leverandøren kan erstattes. Etter utpeking oppnevnes en Lead Overseer fra ESA-ene med tilsynsmyndighet.
Lead Overseer kan gjennomføre inspeksjoner, gi anbefalinger og kreve at CTPP-er iverksetter spesifikke tiltak for å adressere identifiserte risikoer. Dersom en CTPP ikke etterlever anbefalingene, kan Lead Overseer kreve at finansielle enheter helt eller delvis suspenderer bruken av leverandørens tjenester. Dette gir tilsynsrammeverket reell håndhevingskraft.
For finansielle enheter har CTPP-rammeverket praktiske konsekvenser. Du bør overvåke hvilke av dine leverandører som er utpekt (eller sannsynligvis vil bli utpekt) som CTPP-er. Du bør ta hensyn til CTPP-status i konsentrasjonsrisikovurderingene dine. Og du bør være forberedt på kontakt fra Lead Overseer, som kan omfatte forespørsler om informasjon om din bruk av CTPP-ens tjenester.
For en detaljert gjennomgang av DORAs fem pilarer og hvordan de henger sammen, se vår DORA compliance-guide. For å evaluere hvor din organisasjon står, prøv den gratis DORA-vurderingen.