DORA-informationsregister

Ja, rapporterna exporteras automatiskt i ett format som är anpassat till XBRL-språkkraven.

Vi använder CSV-formatet (inte XML), som är mer förenklat och används ofta inom datahantering. Det är särskilt användbart för rapportering av stora datamängder.

Du laddar ner filer i form av CSV-flatfiler, kompletterade med metadata i CSV- och JSON-format, paketerade i ett ZIP-arkiv.

Finansinstitut bör upprätta informationsregister på individuell, underkonsoliderad eller konsoliderad nivå i enlighet med DORA-reglerna (Digital Operational Resilience Act).

För att säkerställa tillsynsresultat som är förenliga med de befintliga tillsynsramarna bör moderföretaget till finansiella enheter som ingår i en grupp enligt definitionen i förordning (EU) 2022/2554 fastställa vilka enheter som ska ingå i informationsregistret på undergruppsnivå och gruppnivå i enlighet med EU:s lagstiftning om finansiella tjänster. För att minska gruppers administrativa kostnader bör grupper ha möjlighet att utveckla ett enda informationsregister på enhets-, undergrupps- och gruppnivå avseende alla avtalsarrangemang om användning av IKT-tjänster som tillhandahålls av tredjepartsleverantörer av IKT-tjänster till alla finansiella enheter som ingår i den gruppen. I sådana fall bör det gemensamma informationsregistret göra det möjligt för varje finansiell enhet att fullgöra sin skyldighet att upprätthålla och uppdatera informationsregistret på enhetsnivå och undergruppsnivå, i tillämpliga fall, inklusive rapportering till sin behöriga myndighet.

DORA Register-verktyget underlättar betydligt att upprätthålla överensstämmelse med tekniska standarder för tillsyn (RTS) och tekniska standarder för implementering (ITS) enligt EU-förordningen för digital operativ motståndskraft (DORA) på några väsentliga sätt:

Heltäckande informationshantering:
Verktyget säkerställer strukturerade ramar för registerföring av information som krävs enligt DORA. Det överensstämmer med ITS som anger mallar för informationsregister som omfattar avtalsvillkor med externa IKT-leverantörer på olika nivåer. Detta garanterar att de finansiella aktörerna kan effektivt hantera sina leverantörer av IKT-tjänster och inrapportera dem i överensstämmelse med art. 28 9 st. i DORA.

Anpassning av IKT-riskhanteringsramarna:
DORA Register iakttar kraven som anges i RTS avseende ramar för styrning av IKT-tredjepartsrisken. Det hjälper de finansiella aktörerna att implementera och upprätthålla ett pålitligt system för hantering av IKT-risken omfattande aspekter som: skydd, förebyggande, upptäckt och respons. Denna anpassning säkerställer att verktygets användare är väl förberedda för att uppfylla DORA-skyldigheterna avseende hantering av IKT-risken.

Klassificering och rapportering av incidenter:
Verktyget integrerar kriterierna för klassificering av incidenter i samband med IKT vilka anges i RTS. Det stöder finansinstitut med identifiering och rapportering av allvarliga incidenter och väsentliga cyberrisker samt säkerställer överensstämmelse med DORA-kraven avseende incidentrapportering. Denna funktion står i överensstämmelse med RTS och ITS vad gäller inrapportering av allvarliga incidenter och hjälper finansinstituten att fullfölja sina skyldigheter på ett effektivt sätt.

Hantering av tredjepartsrisken:
DORA Register hjälper att upprätthålla överensstämmelse med de RTS-standarder som definierar policyn vad gäller IKT-tjänster som stöder kritiska eller viktiga funktioner som utförs av IKT-leverantörerna. Det hjälper finansinstitut att hantera livscykeln hos avtal med externa aktörer genom att fokusera på kritiska eller viktiga funktioner. Denna funktion har nyckelbetydelse för att uppfylla DORA-kraven avseende hantering av tredjepartsrisken.

Automatiserade processer för överensstämmelse:
Verktyget automatiserar många aspekter av överenskommelsen med DORA, inklusive framtagning av rapporter och förande av informationsregister. Denna automatisering hjälper finansinstituten att uppfylla de detaljerade ITS-kraven gällande standardmallar för informationsregister och säkerställer noggrannhet och fullständighet vid rapportering av överensstämmelsen.

Möjlighet att anpassa du uppdaterade föreskrifter:
Som ett dedicerat verktyg för DORA-överensstämmelse har DORA Register designats så att det uppdateras i enlighet med de förändrande kraven. Detta garanterar att de finansinstitut som använder verktyget kan anpassa sig till alla ändringar i RTS eller ITS utan några väsentliga störningar i deras överensstämmelseprocesser.

Support för tillsynsaktiviteter:
Verktyget hjälper finansinstituten att förbereda sig för tillsynsaktiviteter och reagera på dem. Det överensstämmer med RTS vad gäller harmonisering av villkor som möjliggör utförande av tillsynsåtgärder och hjälper finansinstituten att upprätthålla en nödvändig dokumentation och processer för inspektioner från tillsynsmyndigheter.

Förenklad överensstämmelse för mindre aktörer:
För mindre finansiella aktörer erbjuder DORA Register funktioner som överensstämmer med förenklade ramar för IKT-riskhantering vilka anges i RTS. Detta garanterar att finansinstitut i varje storlek effektivt kan använda verktyget för att fullfölja sina skyldigheter enligt DORA.

Likheter:

Syfte: Båda verktygen ska hjälpa finansinstitut att föra och uppdatera informationsregister i samband med deras avtalsvillkor med tredjepartsleverantörer av IKT-tjänster.

Fokus på överensstämmelse: Båda verktygen avser DORA-krav avseende riskhantering i samband med tredjeparts IKT-leverantörer och i synnerhet behovet att föra ett heltäckande register av IKT-leverantörer.

Överensstämmelse med regelverket: Båda verktygen är designade för att uppfylla de krav som ställs av de europeiska tillsynsmyndigheterna (ESA) för överenstämmelse med DORA.

Skillnader:

Format och funktionalitet:
ESA Excel-mall: Standard kalkylbladformat som tillhandahålles av regleringsmyndigheterna för grundläggande datainmatning och rapportering.
DORA Register-verktyg: Mera komplex webbaserad app som erbjuder utökad funktionalitet som går utöver grundläggande datainmatning.

Användargränssnitt:
ESA Excel-mall: Använder det kända kalkylbladgränssnittet som kan vara mindre intuitivt vid komplexa datarelationer.
DORA Register-verktyg: Har ett intuitivt gränssnitt som är specialdesignat för att hantera komplexa beroenden mellan IKT-leverantörer.

Datavisualisering:
ESA Excel-mall: Begränsad till Excels standard pivotdiagram och -tabeller.
DORA Register-verktyg: Erbjuder en avancerad visualisering av beroenden och möjliggör en mera effektiv utvinning av relationerna i IKT-leverantörsnätverket för användarna.

Automatisering:
ESA Excel-mall: Kräver manuell datainmatning och -uppdatering.
DORA Register-verktyg: Tillhandahåller inbyggd automatisering av datauppdatering och generering av rapporter och därmed minskar risken för manuella fel.

Samarbetsfunktion:
ESA Excel-mall: Begränsade samarbetsfunktioner karakteristiska för kalkylblad.
DORA Register-verktyg: Innehåller en uppgiftshanteringsmodul för fördelning av arbetsuppgifterna mellan teammedlemmar och därmed ökar samarbetet inom överensstämmelsen.

Kontroll av överensstämmelse:
ESA Excel-mall: Manuell revision av datas fullständighet och överensstämmelse.
DORA Register-verktyg: Automatiserad kontroll av rapporternas fullständighet och överensstämmelse med lagkraven.

Skalbarhet:
ESA Excel-mall: Kan bli obehändig för stora organisationer med komplexa IKT-leverantörsnätverk
DORA Register-verktyg: Designat för mer krävande hantering av komplexa ekosystem av IKT-leverantörer i stor skala.

Generering av rapporter:
ESA Excel-mall: Kräver manuell formatering och extrahering av lämpliga rapporteringsdata.
DORA Register-verktyg: Erbjuder generering av rapporter i efterfrågade format med ett klick som är förgranskade med avseende på noggrannhet och överensstämmelse.

Uppdatering av föreskrifter:
ESA Excel-mall: Kan kräva manuella uppdateringar i takt med ändringar av lagkraven.
DORA Register-verktyg: Uppdateras regelbundet i syfte att anpassa till ändrande föreskrifter och därmed säkerställer kontinuerlig överensstämmelse.

DORA Register-verktyget stöder betydligt DORA-ramverket tack vare några nyckelegenskaper och funktionaliteter:

1. Heltäckande informationshantering
   Verktyget används som en automatiserad, självstyrande plattform som omfattar all information som krävs av DORA-informationsregister. Detta omfattar avtalsvillkor med IKT-leverantörerna, organisationsstrukturen och mappning av affärsfunktionerna. Det minimerar effektivt manuellt arbete i samband med registrets skapande och upprätthållande.
   
2. Dataintegritet och automatisering
   DORA Registers gränssnitt presenterar datasamlingar och relationer mellan dem och säkerställer överensstämmelse med ett brett informationsområde som ska rapporteras. Det automatiserar relationer och informationsöverföring genom att tillåta engångs ändringar i ordböckerna för att fylla alla objekt. Denna automatisering omfattar avtalsdetaljer, datum, kontaktuppgifter som överförs från de överordnade posterna till alla kopplade poster.
   
3. Guide för överensstämmelse med DORA-föreskrifterna
   Verktyget guidar användarna genom DORA-överensstämmelseprocess relaterad till IKT-leverantörer. Det organiserar kritisk information som
   • Organisationsstruktur (aktörer och deras relationer)
   • Finansiella tillgångar och deras placering
   • Affärsverksamhet (affärsfunktioner)
   • Supportnätverk (leverantörer och avtal)
   • Utgifter för support
   • Potentiella känsliga punkter (kritiska funktioner)
   • Risktolerans (gränsparametrar för kritiska funktioner)
     
4. Rapportering till myndigheter
   DORA Register underlättar granskning och distribution av avtal med externa leverantörer. Det integreras med företagens befintliga riskhanterings- och cybersäkerhetssystem samt regulatoriska kanaler. Verktyget kan hantera ett stort antal relationer med tredjepartsleverantörer hos finansinstitut och generera slutrapporter med erfordrad struktur och innehåll med hjälp av ett klick.
   
5. Hantering av tredjepartsrisken
   Verktyget automatiserar processerna för hantering av tredjepartsrisken, från formulär som överensstämmer med DORA, klassificering av leverantörer med hjälp av speciella koder till generering av rapporter till tillsynsmyndigheten.
   
6. Säkerhetsåtgärder
   DORA Registret implementerar kraftfulla säkerhetsåtgärder inkl.:
   • Individuella instanser för kunder med separata databaser
   • Tvåfaktorsautentisering
   • Konfigurerbara lösenordspolicyn
   • Automatiskt avslutande av inaktiva användarsessioner
   • Datasnapshots och backupkopior
   • Regelbundna penetrationstester och revisioner av källkoden
   • SSO Azure AD åtkomst.
     
7. Klassificering av IKT-leverantörer
   Verktyget hanterar klassificeringen av IKT-leverantörer enligt DORA-riktlinjer, inkl. kategorier av leverantörer som stöder kritiska eller grundläggande funktioner samt 19 konkreta kategorier av IKT-tjänsterna enligt bilaga 3 till RTS 85.
   
8. Styrning av leveranskedjan
   Användarna kan utöka den initiala leveranskedjan som definierats av avtalets huvudleverantör genom att lägga till andraparts- och ytterligare leverantörer genom att hantera styrningen av fjärde- och n:te parts leverantörer.

Genom att tillhandahålla dessa funktioner stöder DORA Register-verktyget effektivt finansiella aktörer att uppfylla kraven i DORA-ramverket, säkerställa överensstämmelse, öka den operativa motståndskraften och effektivisera riskhanteringen i samband med IKT och relationer med leverantörerna.

Vi har stött på synpunkter om att informationsregistret om avtalsvillkor bör innehålla ett begränsat antal uppgifter om IKT-leverantörer:

• Leverantörer och deras leveranskedjor
• Aktörer inom gruppen
• Affärsfunktioner
• Avtal som begränsar ovanstående uppgifter.

Det krävs dock mycket mer information om:

1. Fullständig lista över aktörer och deras relationer inom gruppen.
2. Detaljerad avtalsmappning, inkl. aktörer engagerade i undertecknande, distribution och användning av tjänsterna som indelas i kategorier efter leverantör, typ av tjänst och affärsfunktion.
3. Övergripande mappning av leverantörens leveranskedjor.
4. Bedömning av kriticiteten hos varje aktörs affärsfunktioner och validering av IKT-leverantörens relevans.

Dora Registers informationsregister utför automatiskt alla rapporteringsfunktioner.

Varje rapport innehållande affärsdata extraheras till en särskild CSV-fil kompletterad med erfordrade metadatafiler. Hela rapporten organiseras upp i en viss mappstruktur medan det vid komprimering till ZIP-fil används en viss benämningskonvention.

Om regleringsmyndigheten erbjuder en sådan möjlighet implementerar vi integration med rapporteringssystem.

I början av 2025 kommer DORA Registret att utökas med nya funktionaliteter.

Återställande av registret i appen baserat på en rapport enligt regleringsmyndighetens specifikation och import av informationen till registret (avtalsdetaljer, leverantörslistor) från andra källor på basis av mallar som kan hämtas direkt i appen.

• Individuella instanser för respektive klienter (inkl. separata databaser för klienter).
• Individuella användare och användarlösenord, extra skydd av appens instans som tillval.
• Tvåfaktorsinloggning för appens användare.
• Möjlighet att definiera lösenordspolicy (inkl. lösenordets längd, krav gällande teckentyper, giltighetstider, antal tillåtna inloggningsförsök).
• Automatiskt avslutande av inaktiva användarsessioner.
• Förvaltning av appanvändarnas behörigheter genom behörighetsgrupper.
• Datasnapshots utförs på begäran av auktoriserad användare.
• Automatiska tester av källkoden.
• Granskning och optimering av källkoden.
• Övervakning av bibliotekens och komponenternas livstid.
• Penetrationstester av appen som periodiskt utförs av specialiserade externa aktörer.
• Flerfaktorsinloggning till appens host-panel.
• Reservkopior på appens host-nivå.
• Basering på GCP-infrastruktur som tillhandahålles av operatör för det nationella molnet, stationerad inom EU.
• SSO Azure AD åtkomst.

Leverantörer ska klassificeras i enlighet med detaljerade riktlinjer i JC 2023 85 som omfattar full dokumentation av informationsregistret. Denna tekniska standard för implementering anger några kategorier efter vilka IKT-leverantörerna ska klassificeras. Den omfattar kategorier som leverantörer som stöder kritiska eller grundläggande funktioner samt 19 konkreta kategorier av IKT-tjänsterna enligt bilaga 3 till RTS 85. Gruppinterna leverantörer som omnämns i tabell RT.02.03 som omfattar gruppinterna avtal och relationer med leverantörer utanför gruppen måste också tas upp i klassificeringsprocessen.

Användarna kan utöka den initiala leveranskedjan som definierats av avtalets huvudleverantör genom att lägga till andraparts- och ytterligare leverantörer.

I fall skapandet av registret påbörjades i Excel kräver överföring till DORA Register-verktyget att data avseende avtalsvillkoren med leverantörerna matas in manuellt. Den manuella inmatningen är dock mycket snabbare då uppgifterna om IKT-leverantörerna som matas in fylls automatiskt i alla dataset, ex. i uppgifter gällande avtal, leveranskedjor, tecknare och på flera andra platser.
Flyttning av en informationspost tillverktyget gör det möjligt att kontrollera fel. Dessutom sparar du tid genom automatisk generering av rapporter.

Ja, boka samtal med vår konsult.

Alla priser i prislistan är nettopriser, både för månatliga och årliga planer. Lagstadgad mervärdesskatt (VAT) tillkommer.