Informationsregister DORA

Ja, rapporterne eksporteres automatisk i et format, der er i overensstemmelse med XBRL-sprogkravene.

Vi bruger CSV-formatet (ikke XML), som er mere forenklet og meget udbredt inden for datahåndtering. Det er især nyttigt til rapportering af store datamængder.

Du downloader filer i form af flade CSV-filer, suppleret med metadata i CSV- og JSON-format, pakket i et ZIP-arkiv.

Finansielle institutioner bør udarbejde et informationsregister på individuelt, delkonsolideret eller konsolideret niveau i overensstemmelse med DORA-reglerne.
For at sikre tilsynsresultater, der er i overensstemmelse med de eksisterende tilsynsrammer, bør moderselskabet for finansielle enheder, der er en del af en koncern som defineret i forordning (EU) 2022/2554, bestemme, hvilke enheder der skal medtages i informationsregistret på delkonsolideret og konsolideret niveau i overensstemmelse med EU’s lovgivning om finansielle tjenesteydelser. For at reducere koncerners administrative omkostninger bør koncerner have mulighed for at udvikle et enkelt informationsregister på enhedsniveau, delkonsolideret niveau og konsolideret niveau i forbindelse med alle kontraktlige ordninger om brug af IKT-tjenester, der leveres af IKT-tredjepartsleverandører til alle de finansielle enheder, der er en del af den pågældende koncern. I sådanne tilfælde bør det fælles informationsregister gøre det muligt for hver finansiel enhed at opfylde sin forpligtelse til at føre og opdatere informationsregistret på enhedsniveau og delkonsolideret niveau, hvor det er relevant, herunder rapportering til sin kompetente myndighed.

DORA Register-værktøjet gør det meget nemmere at overholde regulatoriske tekniske standarder (RTS) og implementeringstekniske standarder (ITS) i henhold til Digital Operational Resilience Act (DORA) på flere vigtige måder:

Omfattende informationsstyring:
Værktøjet giver en struktureret ramme for registrering af de oplysninger, som DORA kræver. Det er i overensstemmelse med ITS, som fastlægger skabeloner for informationsregistret, der dækker kontraktlige aftaler med eksterne ICT-leverandører på forskellige niveauer. Dette sikrer, at finansielle institutioner effektivt kan styre og rapportere om deres ICT-tjenesteudbydere, hvilket bidrager til overholdelse af artikel 28, stk. 9, i DORA.

Tilpasning af rammerne for ICT-risikostyring:
DORA-registret tager højde for kravene i RTS om rammerne for ICT-risikostyring. Hjælper finansielle institutioner med at implementere og vedligeholde et robust ICT-risikostyringssystem, der dækker aspekter som sikring, forebyggelse, detektion og reaktion. Denne tilpasning sikrer, at brugerne af værktøjet er godt rustet til at opfylde DORA’s ansvar for ICT-risikostyring.

Klassificering og rapportering af hændelser:
Værktøjet integrerer de kriterier for klassificering af ICT-hændelser, der er fastsat i RTS. Hjælper finansielle institutioner med at identificere og rapportere større hændelser og væsentlige IT-trusler og sikrer overholdelse af DORA’s krav til rapportering af hændelser. Denne funktion er i overensstemmelse med RTS og ITS med hensyn til indberetning af alvorlige hændelser og hjælper institutionerne med at opfylde deres ansvar på en effektiv måde.

Tredjeparts risikostyring:
DORA-registret gør det lettere at overholde RTS, der fastlægger politikken for ICT-tjenester, der understøtter kritiske eller vigtige funktioner, der udføres af ICT-udbydere. Det hjælper finansielle institutioner med at styre livscyklussen for kontrakter med eksterne parter med fokus på kritiske eller vigtige funktioner. Denne funktion er central til at opfylde DORA’s krav til risikostyring af tredjeparter.

Automatiserede compliance-processer:
Værktøjet automatiserer mange aspekter af DORA-overholdelse, herunder generering af rapporter og registrering af oplysninger. Denne automatisering hjælper finansielle institutioner med at opfylde de detaljerede ITS-krav til standardiserede informationsregisterskabeloner, hvilket sikrer nøjagtighed og fuldstændighed i compliance-rapporteringen.

Kan tilpasses opdateringer af lovgivningen:
Som et dedikeret compliance-værktøj til DORA er DORA Register designet til at blive opdateret i overensstemmelse med ændringer i lovkravene. Det sikrer, at finansielle institutioner, der bruger værktøjet, kan tilpasse sig eventuelle ændringer i RTS eller ITS uden væsentlige forstyrrelser i deres compliance-processer.

Support til tilsynsaktiviteter:
Værktøjet hjælper finansielle institutioner med at forberede sig på og reagere på tilsynstiltag. Det er i overensstemmelse med RTS om harmonisering af betingelserne for at muliggøre tilsynstiltag og hjælper institutionerne med at opretholde den nødvendige dokumentation og de nødvendige processer for lovpligtige inspektioner.

Forenklet compliance for mindre virksomheder:
For mindre finansielle institutioner tilbyder DORA Register funktioner, der er i overensstemmelse med den forenklede ramme for ICT-risikostyring, der er beskrevet i RTS. Det sikrer, at finansielle institutioner af alle størrelser effektivt kan bruge værktøjet til at opfylde deres forpligtelser i henhold til DORA.

Ligheder:

Formål: Begge værktøjer er designet til at hjælpe finansielle institutioner med at vedligeholde og opdatere informationsregistre relateret til deres kontraktlige aftaler med eksterne ICT-tjenesteudbydere, som krævet af DORA.

Overholdelse af lovkrav: Begge værktøjer opfylder DORA’s krav til styring af de risici, der er forbundet med eksterne ICT-tjenesteudbydere, især behovet for omfattende registreringer af ICT-tjenesteudbydere.

Overholdelse af lovkrav: Begge værktøjer er designet til at opfylde de krav, som de europæiske tilsynsmyndigheder (ESA) stiller til overholdelse af DORA.

Forskelle:

Format og funktioner:

Excel-skabelon fra ESA: Standard regnearksformat leveret af myndighederne til grundlæggende dataindtastning og rapportering.
Værktøjet DORA Register: En mere avanceret webapplikation med udvidet funktionalitet ud over almindelig dataindtastning.

Brugergrænseflade:
Excel-skabelon fra ESA: Der anvendes en velkendt regnearksgrænseflade, som kan være mindre intuitiv, når man har med komplekse datarelationer at gøre.
Værktøjet DORA Register: Har en intuitiv grænseflade, der er specielt designet til at navigere i de komplekse relationer mellem ICT-udbydere.

Datavisualisering:
Excel-skabelon fra ESA: Begrænset til standard Excel-diagrammer og pivot-tabeller.
Værktøjet DORA Register: Tilbyder avanceret visualisering af relationer, så brugerne kan analysere netværk af ICT-leverandørrelationer mere effektivt.

Automatisering:
Excel-skabelon fra ESA: Kræver manuel indtastning og opdatering af data.
Værktøjet DORA Register: Giver indbygget automatisering af dataopdateringer og rapportgenerering, hvilket reducerer risikoen for manuelle fejl.

Samarbejdsfunktioner:
Excel-skabelon fra ESA: Begrænsede samarbejdsfunktioner, der er typiske for regnearksprogrammer.
Værktøjet DORA Register: Indeholder et modul til opgavestyring, der fordeler ansvarsområder mellem team-medlemmer og øger samarbejdet omkring compliance.

Compliance-kontrol:
Excel-skabelon fra ESA: Manuel kontrol af dataenes fuldstændighed og overensstemmelse.
Værktøjet DORA Register: Automatiseret kontrol af rapportens fuldstændighed og overholdelse af lovkrav.

Skalerbarhed:
Excel-skabelon fra ESA: Det kan blive uoverskueligt for store organisationer med komplekse netværk af ICT-udbydere.
Værktøjet DORA Register: Designet til at håndtere komplekse økosystemer af store ICT-udbydere mere effektivt.

Generering af rapporter:
Excel-skabelon fra ESA: Kræver manuel formatering og udtrækning af relevante data til rapportering.
Værktøjet DORA Register: Giver mulighed for at generere rapporter med et enkelt klik i de påkrævede formater, som på forhånd er verificeret for nøjagtighed og compliance.

Opdateringer af lovgivningen:
Excel-skabelon fra ESA: Kan kræve manuelle opdateringer, når lovkravene ændres.
Værktøjet DORA Register: Vil regelmæssigt blive opdateret for at tilpasse sig ændret lovgivning og sikre fortsat overholdelse.

DORA Register-værktøjet understøtter i høj grad DORA Framework med en række vigtige funktioner og egenskaber:

1. Omfattende informationsstyring
   Værktøjet fungerer som en automatiseret, selvstyrende platform, der dækker alle de oplysninger, der kræves i DORA’s informationsregister. Dette omfatter kontraktlige aftaler med ICT-leverandører, organisationsstruktur og kortlægning af forretningsfunktioner. Minimerer effektivt den manuelle arbejdsbyrde, der er forbundet med at oprette og vedligeholde et register.
   
2. Dataintegritet og automatisering
   DORA Register-grænsefladen repræsenterer datasæt og relationerne mellem dem, hvilket sikrer overensstemmelse med en lang række rapporteringspligtige oplysninger. Automatiserer relationer og informationsoverførsel, så engangsændringer i ordbøger kan udfylde alle objekter. Denne automatisering omfatter kontraktdetaljer, datoer og kontaktoplysninger, som overføres fra de overordnede journaler til alle relaterede journaler.
   
3. Vejledning i overholdelse af DORA
   Værktøjet guider brugerne gennem DORA-complianceprocessen i forbindelse med ICT-tjenesteudbydere. Organiserer kritisk information som f.eks.
   • Organisationsstruktur (enheder og deres relationer)
   • Finansielle aktiver og deres placering
   • Forretningsdrift (forretningsfunktioner)
   • Supportnetværk (leverandører og kontrakter)
   • Udgifter til denne support
   • Potentielle sårbarheder (kritiske funktioner)
   • Risikotolerance (tærskelparametre for kritiske funktioner)
     
4. Rapportering til myndigheder
   DORA Register gør det lettere at gennemgå og distribuere kontrakter med eksterne serviceudbydere. Den kan integreres med virksomhedens eksisterende risikostyrings- og IT-sikkerhedssystemer og regulatoriske kanaler. Værktøjet kan håndtere et stort antal tredjepartsrelationer i finansielle institutioner og generere slutrapporter med den nødvendige struktur og indhold med et enkelt klik på en knap.
   
5. Risikostyring af tredjeparter
   Værktøjet automatiserer processerne for tredjepartsrisikostyring, fra DORA-kompatible spørgeskemaer til klassificering af leverandører ved hjælp af særlige koder til generering af rapporter til tilsynsmyndigheden.
   
6. Sikkerhedsforanstaltninger
   DORA Register implementerer robuste sikkerhedsforanstaltninger, herunder:
   • Individuelle kundeeksemplarer med separate databaser
   • To-faktor-autentificering
   • Konfigurerbare regler for adgangskoder
   • Automatisk udløb af inaktive brugersessioner
   • Snapshots og sikkerhedskopier af data
   • Regelmæssige pentests og gennemgang af kildekode
   • SSO Azure AD-adgang.
     
7. Klassificering af ICT-udbydere
   Værktøjet understøtter klassificeringen af ICT-udbydere i henhold til DORA’s retningslinjer, herunder kategorier som udbydere, der understøtter kritiske eller centrale funktioner, og de 19 specifikke ICT-tjenestekategorier, der er defineret i bilag 3 til RTS 85.
   
8. Styring af forsyningskæden
   Brugere kan udvide den oprindelige forsyningskæde, der er defineret af kontraktens primære leverandør, ved at tilføje sekundære og downstream-leverandører og håndtere styring af fjerde- og niendepartsleverandører.

Ved at tilbyde disse funktioner støtter DORA Register-værktøjet effektivt finansielle institutioner i at overholde DORA Framework, sikre compliance, øge den operationelle modstandsdygtighed og forbedre risikostyringen i forbindelse med ICT og leverandørrelationer.

Vi er bekendt med synspunkter om, at registret over oplysninger om kontraktmæssige bestemmelser bør indeholde et begrænset antal oplysninger om ICT-tjenesteudbydere:

• Leverandører og deres forsyningskæde
• Enheder inden for gruppen
• Forretningsfunktioner
• Kontrakter, der begrænser ovenstående oplysninger.

Der er dog meget mere information relateret til:

1. Fuld liste over virksomheder og deres relationer inden for gruppen.
2. Detaljeret kortlægning af kontrakter, herunder dem, der er involveret i underskrivelse, distribution og brug af tjenester, kategoriseret efter udbyder, tjenestetype og forretningsfunktion.
3. Omfattende kortlægning af leverandørernes forsyningskæder.
4. Vurder betydningen af hver virksomheds forretningsfunktioner, og valider ICT-leverandørens egnethed.

Dora-informationsregistret udfører alle rapporteringsoperationer automatisk.

Hver rapport, der indeholder forretningsdata, udtrækkes automatisk til en separat CSV-fil, komplet med de nødvendige metadatafiler. Hele rapporten er organiseret i en bestemt mappestruktur, og der bruges en bestemt navngivningskonvention, når den pakkes i en ZIP-fil.

Hvis myndigheden tilbyder denne mulighed, vil vi implementere integration med rapporteringssystemer.

I begyndelsen af 2025 vil DORA-registret blive udvidet med nye funktioner.

Genskab registret i applikationen på grundlag af en rapport i henhold til tilsynsmyndighedens specifikationer og importer oplysninger til registret (kontraktmålinger, leverandørlister) fra andre arkiver, baseret på skabeloner, der kan downloades direkte fra applikationen.

• Individuelle kundeinstanser (inklusive separate databaser for kunder).
• Individuel bruger og adgangskode for applikationsbrugeren, valgfri ekstra beskyttelse af applikationsinstansen.
• To-faktor brugerlogin til applikationer.
• Mulighed for at definere en adgangskodepolitik (herunder krav til adgangskodelængde, tegntyper, gyldighedsperioder, antal tilladte loginforsøg).
• Automatisk udløb af inaktive brugersessioner.
• Styring af applikationsbrugerrettigheder gennem rettighedsgrupper.
• Øjebliksbilleder af data udført på anmodning af en autoriseret bruger.
• Automatiseret test af kildekoden.
• Procedure til at gennemgå og optimere kildekoden.
• Overvågning af status på de anvendte biblioteker og komponenter.
• Pentests af applikationen udføres med jævne mellemrum af specialiserede eksterne virksomheder.
• Multikomponent-login til applikationens hostingpanel.
• Sikkerhedskopier på applikationshostingniveau.
• Baseret på GCP-infrastruktur leveret af en national cloud-operatør i EU.
• SSO Azure AD-adgang.

Leverandører skal klassificeres i overensstemmelse med den detaljerede vejledning i JC 2023 85, som omfatter fuld dokumentation af informationsregistret. Denne tekniske implementeringsstandard angiver flere kategorier, som ICT-udbydere skal klassificeres efter. Disse omfatter kategorier som udbydere, der understøtter kritiske eller centrale funktioner, og 19 specifikke kategorier af ICT-tjenester som defineret i bilag 3 til RTS 85. Koncerninterne leverandører, der er anført i tabel RT.02.03, som dækker koncerninterne kontrakter og relationer med leverandører uden for koncernen, skal også medtages i klassifikationsprocessen.

Brugere kan udvide den oprindelige forsyningskæde, der er defineret af kontraktens primære leverandør, ved at tilføje sekundære og downstream-leverandører.

Hvis du er begyndt at oprette et register i Excel, kræver det manuel indtastning af data om kontraktlige aftaler med leverandører at overføre det til DORA Register-værktøjet. Manuel indtastning er dog meget hurtigere, da de indtastede ICT-leverandørdata automatisk udfyldes i alle datasæt, f.eks. kontraktdata, forsyningskæder, tegningsberettigede og mange andre steder.
Ved at overføre informationsposten til værktøjet kan man tjekke for fejl. Derudover frigører du tid gennem den automatiske generering af rapporter.

Ja, book en samtale med vores konsulent.

Alle priser i prislisten er nettopriser, både for måneds- og årsabonnementer. Det vil sige, at der skal tillægges moms til priserne.