Oversikt

DORAs tredjepartsrammeverk

Art. 28 til 44 i DORA etablerer det mest omfattende regulatoriske rammeverket for IKT-tredjepartsrisikostyring i EUs finanssektor. Forordningen anerkjenner at finansielle enheter i stor grad er avhengige av eksterne IKT-tjenesteleverandører for kritiske operasjoner, og at denne avhengigheten skaper risiko som må styres systematisk.

Rammeverket dekker hele livssyklusen til IKT-tredjepartsforhold. Det starter med kravet om å vedlikeholde et komplett informasjonsregister over alle IKT-avtaler (art. 28(3)). Videre fastsetter det forpliktelser for forhåndsvurdering, obligatoriske kontraktsklausuler (art. 30), løpende overvåking, vurdering av konsentrasjonsrisiko (art. 29), tilsyn med videre-utsettingskjeder (art. 29(2)) og planlegging av exit-strategier (art. 28(8)). For de mest systemviktige leverandørene etablerer forordningen et direkte EU-tilsynsregime gjennom utpeking av kritiske IKT-tredjepartsleverandører (CTPP) (art. 31–44).

Dette er ikke et lettvint regime. DORAs tredjepartskrav går vesentlig lenger enn tidligere EU-regler for utsetting i finanssektoren. Overgangen fra retningslinjer til bindende forordning, de strukturerte datakravene i informasjonsregisteret og innføringen av direkte tilsyn med CTPP-er representerer et paradigmeskifte i hvordan IKT-leverandørforhold styres.


Art. 28

Leverandørregister og forhåndsvurdering

Art. 28 er fundamentet i DORAs tredjepartsrammeverk. Den krever at finansielle enheter styrer IKT-tredjepartsrisiko som en integrert del av det overordnede IKT-risikostyringsrammeverket. Det betyr at leverandørforhold ikke skal behandles som innkjøpsposter, men som risikobærende avhengigheter som krever aktiv styring.

Kjerneforpliktelsen under art. 28(3) er informasjonsregisteret. Hver finansiell enhet må vedlikeholde et strukturert register over alle kontraktsavtaler med IKT-tredjepartsleverandører, i formatet definert av ITS 2024/2956. Registeret skal holdes oppdatert til enhver tid og innsendes til tilsynsmyndigheten på forespørsel. Første innleveringsfrist var 30. april 2025. For en detaljert guide om oppbygging og vedlikehold av registeret, se vår guide til informasjonsregisteret.

Før inngåelse av avtale med en IKT-leverandør som støtter en kritisk eller viktig funksjon (CIF), må enheten gjennomføre en grundig risikovurdering. Denne skal omfatte leverandørens evne til å oppfylle kontraktskravene, avtalens innvirkning på enhetens operasjonelle motstandsdyktighet, og hvorvidt avtalen medfører uakseptabel konsentrasjonsrisiko. Art. 28(4) krever at vurderingene dokumenteres og er tilgjengelige for tilsynsmyndighetens gjennomgang.

Art. 28(5) krever at ledelsesorganet informeres minst årlig om risiko identifisert fra IKT-tredjepartsavtaler, herunder nye avtaler, resultater fra risikovurderinger og status for konsentrasjonsrisiko. Dette er ikke en delegerbar forpliktelse. Ledelsesorganet må ha direkte innsyn i tredjepartsrisikoen knyttet til IKT.


Art. 30

Kontraktskrav

Art. 30 fastsetter de obligatoriske kontraktsklausulene som må inngå i alle IKT-tredjepartsavtaler som støtter kritiske eller viktige funksjoner. Klausulene er ikke valgfrie og kan ikke frafalles, selv der leverandøren har betydelig forhandlingsmakt.

Art. 30(2) Obligatoriske klausuler for CIF-avtaler
Tydelig beskrivelse av IKT-tjenestene, inkludert SLA-er, ytelsesmål og kvalitetsindikatorer Art. 30(2)(a)
Spesifikasjon av hvor data behandles og lagres, inkludert eventuelle restriksjoner på overføring til tredjeland Art. 30(2)(b)
Bestemmelser om datatilgjengelighet, tilgang, integritet, sikkerhet og gjenoppretting ved driftsavbrudd Art. 30(2)(c)
Ubegrensede rettigheter til revisjon og inspeksjon for enheten, dens revisorer og tilsynsmyndigheten Art. 30(2)(d)
Plikt til å varsle enheten uten ugrunnet opphold om enhver IKT-hendelse som berører de kontraktsfestede tjenestene Art. 30(2)(e)
Plikt til å delta i og samarbeide med enhetens program for testing av digital motstandsdyktighet Art. 30(2)(f)
Oppsigelsesrettigheter og tilstrekkelige overgangsperioder, inkludert dataportabilitet og migrasjonsbistand Art. 30(2)(g)
Varslingskrav før videre-utsetting av noen del av tjenesten, med rett til å motsette seg dette Art. 30(2)(h)

For eksisterende kontrakter som ble inngått før DORA, bør enheter gjennomføre en gap-analyse mot art. 30(2) og forhandle frem endringer der klausuler mangler. For nye kontrakter bør klausulene inkluderes fra start. Kontraktsmaler og klausulsporing er tilgjengelig i DORA GRCs leverandørstyringsmodul.


Art. 29

Vurdering av konsentrasjonsrisiko

Art. 29 krever at finansielle enheter vurderer konsentrasjonsrisikoen som oppstår fra IKT-tredjepartsavtaler. Konsentrasjonsrisiko oppstår når en enhet er for avhengig av én leverandør, eller et lite antall leverandører, for tjenester som støtter kritiske eller viktige funksjoner.

Vurderingen bør ta hensyn til flere dimensjoner. Hvor mange kritiske funksjoner avhenger av en enkelt leverandør? Kan leverandøren erstattes, og hvor raskt? Hva er den geografiske konsentrasjonen av databehandlingen? Hvordan er leverandørens finansielle stabilitet og markedsposisjon? Hva ville skje dersom leverandøren opplevde et alvorlig driftsavbrudd, gikk konkurs eller avsluttet virksomheten i EU?

Konsentrasjonsrisiko er ikke begrenset til direkte leverandørforhold. Art. 29(2) krever at enheter tar hensyn til videre-utsettingskjedene under sine direkte leverandører. Dersom flere leverandører i siste instans er avhengige av samme underleverandør for en kritisk komponent (for eksempel en felles skyleverandør), har enheten en indirekte konsentrasjonsrisiko som må identifiseres og styres.

Resultatene av konsentrasjonsrisikovurderingen skal rapporteres til ledelsesorganet minst årlig etter art. 28(5). Der uakseptabel konsentrasjon identifiseres, bør enheten utvikle risikoreduserende strategier, som kan inkludere identifisering av alternative leverandører, diversifisering av avtaler på tvers av leverandører eller styrking av exit-planer. For en bredere oversikt over DORA compliance-krav på tvers av alle fem pilarer, se vår komplette guide.


Art. 29(2)

Videre-utsettingskjeder

DORA krever at finansielle enheter ser ut over sine direkte leverandørforhold og forstår hele kjeden av videre-utsetting. Når din skyleverandør bruker et annet selskap til datasenteroperasjoner, og det selskapet bruker en tredjepart til nettverkstilkobling, representerer hvert ledd i kjeden en avhengighet som kan påvirke din operasjonelle motstandsdyktighet.

Art. 29(2) krever spesifikt at enheter vurderer risikoen knyttet til videre-utsettingsavtaler der den videre-utsatte tjenesten støtter en kritisk eller viktig funksjon. Du må vite hvem leverandørenes underleverandører er, hvilke tjenester de leverer, hvor de er lokalisert, og om de kan erstattes.

Kontraktsklausuler etter art. 30(2)(h) krever at leverandører varsler enheten før videre-utsetting av noen del av tjenesten, og enheten skal ha rett til å motsette seg dette. I praksis forutsetter synlighet i videre-utsettingskjedene løpende dialog med leverandørene og strukturert datainnhenting.

Informasjonsregisteret skal fange opp hele videre-utsettingskjeden for hver avtale, inkludert identifisering av underleverandører (LEI, navn, jurisdiksjon), de videre-utsatte tjenestene, og hvorvidt disse tjenestene støtter en CIF. Disse dataene inngår i både konsentrasjonsrisikovurderingen og innrapporteringen til tilsynsmyndigheten.


Art. 28(8)

Exit-strategier

Art. 28(8) krever at finansielle enheter utarbeider og vedlikeholder exit-strategier for alle IKT-tredjepartsavtaler som støtter kritiske eller viktige funksjoner. En exit-strategi er en dokumentert plan for hvordan enheten vil gjennomføre en overgang bort fra en leverandør dersom forholdet må avsluttes, enten som følge av kontraktsoppsigelse, leverandørsvikt, regulatorisk inngripen eller et valg om å bytte leverandør.

Exit-strategien skal være realistisk og gjennomførbar. Den bør dekke datamigrering (hvordan data skal hentes ut, hvor de skal overføres, og tidsrammen), tjenestekontinuitet i overgangsperioden, identifisering av alternative leverandører eller interne kapasiteter, nødvendige ressurser for migrering, og forventet tidsplan. Strategien bør gjennomgås jevnlig og oppdateres når forholdene endrer seg.

Exit-strategier er spesielt viktige for avtaler som dekker kritiske funksjoner og der leverandøren har betydelig markedsmakt eller der muligheten for substitusjon er begrenset. Dersom konsentrasjonsrisikovurderingen identifiserer en leverandør som ville være vanskelig å erstatte, må exit-strategien adressere dette eksplisitt.

DORA GRC inkluderer en exit-planmodul som kobler exit-strategier til leverandørregisteret, kontraktsregisteret og dashbordet for konsentrasjonsrisiko. Hver exit-plan dokumenterer fremgangsmåte for overgang, alternative leverandører, tidslinje og ressursbehov, og spores sammen med den tilhørende kontraktsavtalen.


Art. 31–44

Kritiske IKT-tredjepartsleverandører (CTPP)

Art. 31 til 44 etablerer et direkte EU-tilsynsrammeverk for IKT-tjenesteleverandører som utpekes som kritiske IKT-tredjepartsleverandører (CTPP-er). Dette er en betydelig nyvinning i EU-finansreguleringen: for første gang blir teknologiselskaper som betjener finanssektoren underlagt direkte regulatorisk tilsyn, ikke bare indirekte gjennom finansielle enheter de betjener.

ESA-ene (EBA, ESMA, EIOPA) utpeker CTPP-er basert på den systemiske betydningen av tjenestene de leverer. Kriteriene inkluderer antallet og typen finansielle enheter som er avhengige av leverandøren, hvor kritiske funksjoner som støttes er, og i hvilken grad leverandøren kan erstattes. Etter utpeking oppnevnes en Lead Overseer fra ESA-ene med tilsynsmyndighet.

Lead Overseer kan gjennomføre inspeksjoner, gi anbefalinger og kreve at CTPP-er iverksetter spesifikke tiltak for å adressere identifiserte risikoer. Dersom en CTPP ikke etterlever anbefalingene, kan Lead Overseer kreve at finansielle enheter helt eller delvis suspenderer bruken av leverandørens tjenester. Dette gir tilsynsrammeverket reell håndhevingskraft.

For finansielle enheter har CTPP-rammeverket praktiske konsekvenser. Du bør overvåke hvilke av dine leverandører som er utpekt (eller sannsynligvis vil bli utpekt) som CTPP-er. Du bør ta hensyn til CTPP-status i konsentrasjonsrisikovurderingene dine. Og du bør være forberedt på kontakt fra Lead Overseer, som kan omfatte forespørsler om informasjon om din bruk av CTPP-ens tjenester.

For en detaljert gjennomgang av DORAs fem pilarer og hvordan de henger sammen, se vår DORA compliance-guide. For å evaluere hvor din organisasjon står, prøv den gratis DORA-vurderingen.

Ofte stilte spørsmål

Vanlige spørsmål om tredjepartsrisikostyring

Hva er DORAs tredjepartsrisikostyring?
DORAs tredjepartsrisikostyring omfatter kravene i art. 28–44 i EU-forordning 2022/2554 for hvordan finansielle enheter skal håndtere risiko knyttet til bruk av IKT-tredjepartsleverandører. Det dekker hele livssyklusen til leverandørforhold: vedlikehold av informasjonsregisteret over alle IKT-avtaler, forhåndsvurdering før kontraktsinngåelse for leverandører som støtter kritiske funksjoner, obligatoriske kontraktsklausuler etter art. 30(2), vurdering av konsentrasjonsrisiko på tvers av leverandørbasen, overvåking av videre-utsettingskjeder, vedlikehold av exit-strategier og samspill med CTPP-tilsynsrammeverket. Kravene gjelder alle finansielle enheter i DORAs virkeområde, proporsjonalt med størrelse og risikoprofil.
Hvilke kontraktsklausuler krever DORA?
Art. 30(2) krever at kontrakter med IKT-leverandører som støtter kritiske eller viktige funksjoner inneholder obligatoriske klausuler om: tydelige tjenestebeskrivelser med SLA-er, lokasjoner for databehandling og lagring, bestemmelser om datatilgjengelighet og sikkerhet, ubegrensede revisjons- og inspeksjonsrettigheter for enheten og tilsynsmyndigheten, varslingskrav ved hendelser, deltakelse i motstandsdyktighetstesting, oppsigelsesrettigheter med tilstrekkelige overgangsperioder inkludert dataportabilitet, og varslingskrav ved videre-utsetting med rett til innsigelse. Klausulene er obligatoriske og kan ikke frafalles. For eksisterende kontrakter bør enheter gjennomføre en gap-analyse og forhandle frem endringer der klausuler mangler.
Hva er en CTPP under DORA?
En CTPP (Critical ICT Third-Party Provider) er en IKT-tjenesteleverandør utpekt av de europeiske tilsynsmyndighetene (ESA-ene) som systemviktig for EUs finanssektor. Utpekingen baseres på antallet og typen finansielle enheter som er avhengige av leverandøren, hvor kritiske funksjonene som støttes er, og i hvilken grad leverandøren kan erstattes. Etter utpeking oppnevnes en Lead Overseer fra ESA-ene med myndighet til å gjennomføre inspeksjoner, gi anbefalinger og kreve korrigerende tiltak. Dersom en CTPP ikke etterlever anbefalingene, kan Lead Overseer kreve at finansielle enheter suspenderer bruken av leverandørens tjenester. Finansielle enheter bør overvåke hvilke leverandører som er utpekt som CTPP-er og ta hensyn til dette i konsentrasjonsrisikovurderinger og exit-planlegging.
Hvordan vurderer jeg IKT-konsentrasjonsrisiko?
Vurdering av IKT-konsentrasjonsrisiko etter art. 29 innebærer å evaluere i hvilken grad kritiske eller viktige funksjoner avhenger av én leverandør eller en liten gruppe leverandører. Viktige dimensjoner å vurdere er: hvor mange kritiske funksjoner hver leverandør støtter, om leverandøren kan erstattes og hvor raskt, geografisk konsentrasjon av databehandling, leverandørens finansielle stabilitet, og hva som ville skje dersom leverandøren sviktet eller tjenestene ble utilgjengelige. Du må også vurdere indirekte konsentrasjon gjennom videre-utsettingskjeder, der flere leverandører kan være avhengige av den samme underliggende underleverandøren. Vurderingen skal rapporteres til ledelsesorganet minst årlig og bør ligge til grunn for exit-strategiplanleggingen. DORA GRC inkluderer et dashbord for konsentrasjonsrisiko som visualiserer disse avhengighetene automatisk basert på leverandør- og kontraktsdata.