DORA-Informatieregister

Geautomatiseerd tool om te voldoen aan de contracteisen van de ICT-dienstverleners

Voldoe aan de eisen voor het registreren van de inforrmatie!


Vult u het register van alle contractuele afspraken in Excel?

5 uitdagingen waar u waarschijnlijk voor staat

U moet 15 aparte tabellen invullen, verbonden door een dicht netwerk van afhankelijkheden, waarbij
gebruik wordt gemaakt van onleesbare codes om relaties te leggen. U mag geen fouten maken, geen
typefouten, want dan is het onmogelijk om de ICT-leverancier te identificeren.

U hebt veel handmatig werk en een gebrek aan mechanismen om gegevensintegriteit tussen bladen
te garanderen, wat leidt tot een hoger risico op fouten.

Het kost u veel tijd om zowel de titles als de kopteksten van individuele rapporten uit te drukken in de
vorm van onleesbare codes. Daarnaast zult u dan de DORA codes decoderen naar een zakelijke taal.

In de rapporten moet u in tientallen of honderden rijen waarden invullen. Veel informatie wordt dubbel
ingevoerd, zowel binnen een rapport als tussen verschillende rapoorten.

Om velden in te vullen, blijft u het codewoordenboek vele malen checken, waar in plaats van
waarden een onleesbare alfanumerieke code moet worden gebruikt.

Wat is het DORA-Informatieregister tool?

Tijdbesparende automatisering

De tool is een geautomatiseerd, zelfgestuurd platform dat alle informatie bevat die vereist is voor het DORA-Informatieregister,
inclusief contractuele afspraken met ICT-leveranciers, organisatiestructuur en het business function mapping. Dankzij deze plossing zal
uw handmatige werklast met betrekking tot het aanmaken en onderhouden van het register effectief worden geminimaliseerd.

Wat uw werk met het informatieregister naar een hoger niveau brengt en u tijd bespaart, is de automatisering van relaties en de
automatisering van informatieoverdracht. Een eenmalige wijziging van namen (leveranciers, codes) in het woordenboek geldt
voor alle objecten. Contractdetails, zoals data en contactinformatie, worden van bovenliggende records naar alle gerelateerde
records overgebracht.

Gegevensintegriteit

De interface van DORA-Informatieregister, met zijn weergave van datasets en relaties daartussen, zal u helpen om effectief te
voldoen aan de brede scope van informatie die gerapporteerd moet worden.

De informatieintegratie vindt plaats op het niveau van één gegevensbron en dit biedt de functie voor het gebruik van natuurlijke taal
in plaats van onbegrijpelijke alfnumierieke codes.
Bij de interactie met de DORA-Register werkt u met betekenisvolle zakelijke taal en pas bij het exporteren van het rapport zal het
systeem deze omzetten naar een nodige set van alfanumerieke codes. Het systeem zal automatisch ook voor
gegevensintegriteit in verschillende rapporten zorgen.

DORA-Compliance

Het leidt u door het proces van DORA-compliance gerelateerd aan de ICT-dienstverleners.

Het DORA-Register helpt met het organiseren van informatie zoals:

  1. organisatiestructuur (entiteiten en hun relaties)
  2. financiële activa en hun locaties (waarde van activa)
  3. bedrijfsactiviteiten (bedrijfsfuncties)
  4. ondersteuningsnetwerk (leveranciers en contracten)
  5. uitgaven voor deze ondersteuning (contractwaarden)
  6. potentiële kwetsbaarheden (kritieke functies)
  7. risicotolerantie (drempelparameters voor kritieke functies – risicoaanvaardingsniveau voor elke leverancier).

Rapportage aan autoriteiten

Het biedt de mogelijkheid om contracten van externe dienstverleners te beoordelen en te verspreiden. Het integreert met bestaande
systemen voor bedrijfsrisicobeheer, cyberbeveiliging en regelgevende instanties. Het regelt veel externe relaties in
financiële instellingen.

Het genereert eindrapporten met de vereiste structuur en inhoud met één klik. Het gebruikt de inzichten van de sanity
check om uw rapport te verbeteren.

Waarom is het de moeite waard?

U hebt een correct en een volledig register, zonder fouten en zonder relevante informatie te missen.

U bespaart tijd op handmatig werk dankzij data bron modellen die automatich overgezet worden naar meerdere

Voortdurend toont u verantwoordelijkheid voor het bijhouden van het register, die gemakkelijk te krijgen en correct gestructeerd zijn
voor alle toezichthoudende autoriteiten in de EU.

Voortdurend voert u een dagelijkse controle van leveranciers uit, die u ook kunt gebruiken tijdens audits en inspecties.

U hebt geautomatiseerde risicobeheerprocessen voor derden, die begint met DORA-conforme vragenlijst, daarna
volgt classificatie van leveranciers met speciale codes en aan het einde rapporten voor de toezichthoudende autoriteiten.


Waarom wij?

Wij hebben het DORA-Register gemaakt, omdat wij geloven dat foutloos beheer van ICT-leveranciers en constante toegang
tot up-to-date rapporten en contracten voor naleving van DORA zorgen. Het kan afzonderlijk werken of als onderdeel van ons
complexe systeem speciaal bedoeld voor grote financiële bedrijven ter ondersteuning van risicobeheer in overeenstemming met
DORA, NIS2 en GDPR.

Zij vertrouwden ons:

Als er minder dan
20 van zulke ICT-diensten* zijn,
betaalt u

200
maandelijks

Als er minder dan 50 van zulke ICT-diensten* zijn, betaalt u

400
maandelijks

Als er minder dan 150 van zulke ICT-diensten* zijn, betaalt u

800
maandelijks

Als u meer ICT-diensten* of meer bedrijven hebt, neem contact met ons op.

Als er minder dan 20 van zulke ICT-diensten* zijn, betaalt u

2000
jaarlijks

Als er minder dan 50 van zulke ICT-diensten* zijn, betaalt u

4000
jaarlijks

Als er minder dan 150 van zulke ICT-diensten* zijn, betaalt u

8000
jaarlijks

Als u meer ICT-diensten* of meer bedrijven hebt, neem contact met ons op.

Voldoe aan de eisen voor het registreren van de inforrmatie!


Veelgestelde vragen

Hoe ondersteunt het DORA-Register tool het xBRL-CSV-rapportage voor de naleving van de regelgeving?

DORA-Register genereert
automatisch xBRL-CSV-bestanden gecomprimeerd in mappen. XBRL is een door DORA vereist formaat dat wordt gebruikt voor
toezichthoudende rapportages in de financiële sector. Het is aangepast op de specifieke rapportagevereisten van het ICT-
leveranciersregister, zoals vereist door de DORA regulatie.

Hoe vergemakkelijkt de DORA-Register tool de naleving van RTS ITS (Regulatory Technical Standards and Implementing Technical Standards) onder DORA?

De DORA Register-tool vergemakkelijkt de naleving van Regulatory Technical Standards (
RTS) en Implementing Technical Standards (ITS) onder de Digital Operational Resilience Act (DORA) op verschillende manieren:

Uitgebreid informatiebeheer:
De tool biedt een gestructureerd kader voor het bijhouden van het door DORA vereiste informatieregister. Het is afgestemd op de ITS die
templates vastlegt voor het informatieregister en contractuele afspraken met ICT Third-Party Providers (TPP’s) op verschillende niveaus
omvat. Dit zorgt ervoor dat financiële entiteiten hun ICT-dienstverleners efficiënt kunnen beheren en erover kunnen rapporteren, wat de
naleving van artikel 28(9), van het DORA ondersteunt.

Afstemming op ICT-risicobeheerkader:
Het DORA-register bevat de vereisten die zijn uiteengezet in de RTS over het ICT-risicobeheerkader. Het helpt financiële entiteiten
om een robuust ICT-risicobeheersysteem te implementeren en te onderhouden dat aspecten van bescherming, preventie, detectie
en reactie omvat. Deze afstemming zorgt ervoor dat gebruikers van de tool goed gepositioneerd zijn om te voldoen aan de verplichtingen
van DORA op het gebied van ICT-risicobeheer.

Classificatie van incidenten en rapportage:
De tool integreert de criteria voor het classificeren van ICT-gerelateerde incidenten zoals gespecificeerd in de RTS. Het ondersteunt
financiële entiteiten bij het identificeren en rapporteren van ernstige incidenten en significante cyberdreigingen en zorgt ervoor dat
wordt voldaan aan de vereisten van DORA voor het rapporteren van incidenten. Deze functie is in lijn met de RTS en ITS voor het
melden van grote incidenten, waardoor instellingen efficiënt aan hun verplichtingen kunnen voldoen.

Risicobeheer door derden:
DORA-Register vergemakkelijkt de naleving van de RTS waarin het beleid is vastgelegd voor ICT-diensten die kritieke of belangrijke
functies ondersteunen die worden uitgevoerd door ICT TPP’s. Het helpt financiële entiteiten bij het beheren van de levenscyclus van
overeenkomsten met derden, waarbij de nadruk ligt op kritieke of belangrijke functies. Deze functie is cruciaal om te voldoen aan de
vereisten van DORA voor risicobeheer van derden.

Geautomatiseerde nalevingsprocessen:
De tool automatiseert veel aspecten van de naleving van DORA, waaronder het genereren van rapporten en het bijhouden van het
informatieregister. Deze automatisering helpt financiële entiteiten te voldoen aan de gedetailleerde vereisten van de ITS met
betrekking tot standaardtemplates voor het informatieregister, waardoor de nauwkeurigheid en volledigheid van de compliance-
rapportage wordt gewaarborgd.

Aanpasbaarheid aan regelgevingsupdates:
DORA Register is een speciale tool voor DORA-naleving en is ontworpen om te worden bijgewerkt in overeenstemming met de
veranderende regelgeving. Dit zorgt ervoor dat financiële entiteiten die de tool gebruiken, zich kunnen aanpassen aan
wijzigingen in RTS of ITS zonder dat hun complianceprocessen noemenswaardig worden verstoord.

Ondersteuning voor toezichtactiviteiten:
De tool helpt financiële entiteiten om zich voor te bereiden en te reageren op toezichtactiviteiten. De tool sluit aan bij de RTS
over harmonisatie van de voorwaarden voor het uitvoeren van toezichtactiviteiten en helpt instellingen de nodige documentatie
en processen bij te houden voor inspecties door toezichthouders.

Vereenvoudigde naleving voor kleinere entiteiten:
Voor kleinere financiële entiteiten biedt DORA-Register functies die aansluiten bij het vereenvoudigde ICT-risicobeheerkader
dat in de RTS wordt beschreven. Dit zorgt ervoor dat financiële instellingen van alle groottes de tool effectief kunnen gebruiken
om aan hun DORA-verplichtingen te voldoen.

Wat zijn de overeenkomsten en de verschillen tussen Dora-Register tool en ESA Excel Template?

Overeenkomsten

Doel: Beide tools zijn bedoeld om financiële entiteiten te helpen bij het bijhouden en bijwerken van informatieregisters over hun contractuele afspraken met externe ICT-dienstverleners, zoals vereist door DORA.

Doel: Beide tools zijn bedoeld om financiële entiteiten te helpen bij het bijhouden en bijwerken van informatieregisters over hun contractuele afspraken met externe ICT-dienstverleners, zoals vereist door DORA.

Focus op naleving: Ze richten zich op de vereisten van DORA voor risicobeheer van ICT-diensten van derden, in het bijzonder
de behoefte aan een uitgebreide registratie van ICT-dienstverleners.

Afstemming op regelgeving: Beide tools zijn ontworpen om te voldoen aan de vereisten van de European Supervisory
Authorities (ESA’s) voor de naleving van DORA.

Verschillen:

Formaat en functionaliteit:

ESA Excel Template: Een gestandaardiseerd spreadsheetformaat dat door regelgevende instanties wordt verstrekt
voor het invoeren van basisgegevens en rapportage.
DORA Register-tool: Een meer geavanceerd, webgebaseerde toepassing die meer functionaliteit biedt dan het
invoeren van basisgegevens.

Gebruikersinterface:

ESA Excel Template: Maakt gebruik van een vertrouwde spreadsheetinterface, die minder intuïtief kan zijn voor
complexe gegevensrelaties.
DORA Register-tool: Heeft een intuïtieve interface die speciaal ontworpen is voor het navigeren door complexe
afhankelijkheden tussen ICT-aanbieders.

Visualisatie van gegevens:

ESA Excel Template: Is beperkt tot standaard Excel-mogelijkheden voor grafieken en tabellen.
DORA Register-tool: Biedt geavanceerde visualisatie van afhankelijkheden, zodat gebruikers het netwerk van
ICT-leveranciers effectiever kunnen verkennen.

Automatisering:

ESA Excel Template: Vereist handmatig invoeren en bijwerken van gegevens.
DORA Register tool: Biedt ingebouwde automatisering voor het bijwerken van gegevens en het genereren van rapporten,
waardoor de kans op handmatige fouten afneemt.

Functies voor samenwerking:

ESA Excel-Template: Beperkte samenwerkingsfuncties die inherent zijn aan spreadsheetsoftware.
DORA Register-tool: Bevat een taakbeheermodule voor het verdelen van verantwoordelijkheden onder teamleden,
wat de samenwerking bij compliance verbetert.

Nalevingscontroles:

ESA Excel-Template: Handmatige controle van volledigheid en naleving van gegevens.
DORA Register tool: Geautomatiseerde controles op volledigheid van rapporten en naleving van wettelijke vereisten.

Schaalbaarheid:

ESA Excel Template: Kan onhandelbaar worden voor grote organisaties met complexe ICT-leveranciersnetwerken.
DORA Register tool: Ontworpen om efficiënter om te gaan met complexe, grootschalige ecosystemen van ICT-leveranciers.

Rapportage:

ESA Excel Template: Vereist handmatige opmaak en extractie van relevante gegevens voor rapportage.
DORA Register tool: Biedt rapportgeneratie met één klik in de vereiste formaten, vooraf gevalideerd op nauwkeurigheid en naleving.

Updates regelgeving:

ESA Excel-Template: Moet mogelijk handmatig worden bijgewerkt als de regelgeving verandert.
DORA Register tool: Wordt waarschijnlijk regelmatig bijgewerkt om in lijn te blijven met veranderende regelgeving, waardoor
voortdurende naleving wordt gewaarborgd.

Kosten en toegankelijkheid:

ESA Excel-Template: Vrij verkrijgbaar bij regelgevende instanties, waarvoor alleen spreadsheetsoftware nodig is.
DORA Register tool: Een commerciële oplossing die licentiekosten met zich mee kan brengen, maar uitgebreidere functies biedt.

Concluderend kan worden gesteld dat, hoewel beide tools het doel van naleving van DORA dienen, het DORA-Register tool
meer geavanceerde functies, automatisering en gebruiksvriendelijke interfaces biedt in vergelijking met de basisfunctionaliteit
van de ESA Excel Template. De keuze hangt af van de grootte van de financiële entiteit, de complexiteit van het netwerk
van ICT-leveranciers en de mate van verfijning, die nodig is voor het beheren van DORA-compliance.

Hoe ondersteunt het DORA-Register tool het DORA Framework?

De DORA register-tool ondersteunt aanzienlijk het DORA Framework met een aantal belangrijke functues en functionaliteiten:

  1. Uitgebreid informatiebeheer
    De tool dient als een geautomatiseerd, zelfgestuurd platform die alle informatie bevat die vereist is voor het DORA-informatieregister. Het omvat contractuele afspraken met ICT-leveranciers, organisatiestructuur en business function mapping. Het minimaliseert effectief de handmatige werklast voor het maken en onderhouden van het register.
  2. Gegevensintegriteit en automatisering
    De interface van DORA-Informatieregister representeert data sets en relaties daartussen, zodat wordt voldaan aan de brede reikwijdte van de te rapporteren informatie. Het automatiseert relaties en informatieoverdracht, waardoor het mogelijk is dat eenmalige wijzigingen in woordenboeken worden doorgevoerd voor alle objecten. Deze automatisering geldt ook voor contractgegevens, data en contactinformatie, die worden overgedragen van bovenliggende records naar alle gerelateerde records.
  3. Begelediging bij DORA-compliance
    De tool leidt gebruikers door het DORA-complianceproces gerelateerd aan ICT-dienstverleners. Het organiseert belangrijke informatie, zoals:
    • Organisatiestructuur (entiteiten en hun relaties)
    • Financiële activa en hun locaties
    • Bedrijfsactiviteiten (bedrijfsfuncties)
    • Ondersteuningsnetwerk (leveranciers en contracten)
    • Uitgaven voor deze ondersteuning
    • Potentiële kwetsbaarheden (kritieke functies)
    • Risicotolerantie (drempelparameters voor kritieke functies)
  4. Rapportage aan autoriteiten
    DORA-Register vergemakkelijkt de beoordeling en distributie van contracten met externe dienstverleners. Het kan worden geintegreerd met bestaande systemen voor bedrijfsrisicobeheer en cyberbeveiliging, maar ook met regelgevende instanties. De tool regelt het volume van relaties met derden in financiele instellingen en genereert met één klik eindrapporten met de nodige structuur en inhoud.
  5. Risicobeheer voor derden
    De tool automatiseert risicobeheerprocessen voor derden, van DORA-conforme vragenlijsten, via classificatie van leveranciers met speciale codes, tot het genereren van rapporten voor de toezichthouders.
  6. Beveiligingsmaatregelen
    DORA-Register implementeert robuuste beveiligingsmaatregelen, waaronder:
    • Individuele instanties voor klanten met afzonderlijke databases
    • Twee-factor authenticatie
    • Aanpasbaar wachtwoordbeleid
    • Automatisch verlopen van inactieve gebruikerssessies
    • Data snapshots en back-ups
    • Regelmatige pentests en broncodebeoordelingen
    • SSO Azure AD toegang.
  7. Classificatie van ICT-aanbieder
    De tool ondersteunt de classificatie van ICT-aanbieders volgens de DORA-richtlijnen, inclusief categorieën zoals leveranciers die kritieke of essentiële functies ondersteunen en de 19 specifieke categorieën van ICT-diensten die zijn geïdentificeerd in bijlage 3 van RTS 85.
  8. Supply Chain Management
    Gebruikers kunnen de aanvankelijke supply chain, die is gedefinieerd door het contract van de hoofdleverancier, uitbreiden door secundaire en andere leveranciers toe te voegen, waarbij het beheer van leveranciers van een vierde partij en een zoveelste partij aan de orde komt.

Door deze functies te bieden, ondersteunt het DORA-Register tool financiële entiteiten effectief bij het voldoen aan de
vereisten van het DORA Framework, het waarborgen van compliance, het verbeteren van de operationele veerkracht en het
stroomlijnen van het beheer van ICT-gerelateerde risico’s en relaties met derden.

Welke informatie moeten we opnemen in het DORA-Informatieregister?

Sommigen vinden dat het register een beperkt aantal gegevens moet bevatten met betrekking tot
ICT-leveranciers van derden:

  • Leveranciers en hun supply chain
  • Entiteiten binnen de groep
  • Bedrijfsfuncties
  • Contracten, die de bovengenoemde informatie begrenzen.

Er is echter veel meer informatie nodig die te maken heeft met bijvoorbeeld:

1. Een uitgebreide lijst van entiteiten en hun relaties binnen de groep.

2. Het gedetailleerd in kaart brengen van contracten, inclusief de entiteiten die betrokken zijn bij het ondertekenen,
distribueren en gebruiken van diensten, gecategoriseerd op leverancier, type dienst en de betreffende bedrijfsfunctie.

3. Uitgebreid in kaart brengen van de supply chain van leveranciers.

4. Kritieke beoordeling van bedrijfsfuncties van elke entiteit en validatie van de relevantie van de ICT-leverancier.

Welke rapportagemogelijkheden heeft het DORA-Register?

Het Dora-Informatieregister voert alle rapportage operaties automatisch uit.

Elk rapport die bedrijfsgegevens bevat wordt automatisch geëxtraheerd in een apart CSV-bestand en aangevuld met de vereiste
metadatabestanden. Het hele rapport wordt georganiseerd in een gespecificeerde folderstructuur en een specifieke
naamgevingsconventie wordt toegepast wanneer een ZIP-bestand ervan wordt gemaakt.

Integreert het DORA-Register met bestaande systemen?

Als de toezichthouder deze mogelijkheid biedt, zullen wij de integratie met de systemen voor het indienen van rapporten implementeren.

In het begin van 2025 zal het DORA-Register uitgebreid worden met de nieuwe functionaliteiten.

Het opnieuw maken van het register in de applicatie op basis van het rapport gebaseerd op de specificatie van de toezichthouder. Het
importeren van informatie in het register (contractgegevens, leverancierslijsten) vanuit andere opslagplaatsen, op basis van templates
die rechtstreeks vanuit de applicatie kunnen worden gedownload.

Welke beveiligingsmaatregelen heeft het DORA-Register?

  • Individuele instanties voor individuele klanten (inclusief afzonderlijke databases voor klanten).
  • Individuele gebruiker en wachtwoord van de applicatiegebruiker, optionele extra beveiliging voor de applicatie-instantie.
  • Inloggen van applicatiegebruikers met twee factoren.
  • Mogelijkheid om wachtwoordbeleid te definiëren (inclusief wachtwoordlengte, vereisten voor karaktertypen, geldigheidsperioden, aantal toegestane inlog pogingen).
  • Automatisch verlopen van inactieve gebruikerssessies.
  • Het beheer van rechten van applicatiegebruikers door rechtengroepen.
  • Data snapshots op verzoek van een geautoriseerde gebruiker.
  • Automatische broncodetests.
  • Reviewproces en optimalisatie van broncode.
  • Het monitoren van de geldigheid van gebruikte bibliotheken en componenten.
  • Applicatie pentests die periodiek worden uitgevoerd door gespecialiseerde externe entiteiten.
  • Multi-factor logins op het applicatiehostingpaneel.
  • Back-ups op het niveau van de applicatiehosting.
  • Gebaseerd op GCP-infrastructuur, geleverd door de National Cloud Operator, gevestigd in de EU.
  • SSO Azure AD-toegang.

Hoe moeten ICT-leveranciers geclassificeerd worden volgens DORA?

Leveranciers moeten worden geclassificeerd volgens de gedetailleerde richtlijnen in JC 2023 85, die ook volledige documentatie van
het informatieregister bevatten. Deze technische uitvoeringsnorm geeft verschillende categorieën aan volgens welke ICT-leveranciers moeten
worden ingedeeld. Deze omvatten categorieën zoals leveranciers die kritieke of essentiële functies ondersteunen en de 19 specifieke
categorieën van ICT-diensten die in bijlage 3 van RTS 85 worden beschreven. Leveranciers binnen de groep, die worden opgesomd
in tabel RT.02.03, die betrekking hebben op overeenkomsten binnen de groep en relaties met leveranciers buiten de groep, moeten ook
worden opgenomen in het classificatieproces.

Hoe gaat het DORA-Register om met de leveranciers van een vierde en de volgende partij(en)?

Gebruikers kunnen de aanvankelijke supply chain, die is gedefineerd door de hoofdleverancier in het contract, uitbreiden
door een secundaire en/of andere leveranciers toe te voegen.

Hoe kan het register van Excel overgebracht worden naar het DORA Register-tool?

Als u begonnen bent met het aanmaken van een register in Excel, om het over te kunnen brengen naar het DORA-Register tool,
moet u de gegevens van de contractuele afspraken met de leverancies handmatig invoeren. Echter is handmatige invoer veel sneller
omdat de ingevoerde gegevens over ICT-leveranciers automatisch worden aangevuld in alle datasets, bv. data gerelateerd aan
contracten, supply chains, ondertekenaars en nog veel meer.
Door de gegevensrecords over te brengen naar de tool kunt u het checken op fouten. Tot slot, wint u tijd door automatisch
rapporten te genereren.

Kan ik het DORA-Register tool kopen in een On-premise variant?

Ja, meld u a.u.b. aan voor een gesprek met onze consultant.

Zijn de prijzen in de prijslijst bruto of netto?

Alle prijzen in de prijslijst zijn nettoprijzen, zowel voor maand- als jaarabonnementen. Dat wil zeggen dat ze moeten worden vermeerderd met de verschuldigde belasting over de toegevoegde waarde (btw).