En av de viktigste kravene i EUs regelverk for Digital Operational Resilience Act (DORA) er etableringen av et informasjonsregister. Men hva er egentlig formålet med registeret, hva skal det inneholde – og hvordan implementerer du det på riktig måte?
Hva er DORA-informasjonsregisteret?
DORA-informasjonsregisteret – eller Register of Information som det heter på engelsk – er et lovpålagt register over IKT-tjenesteleverandører som alle finansielle virksomheter underlagt DORA må etablere og vedlikeholde. Registeret skal systematisk dokumentere alle kontraktsmessige avtaler med IKT-leverandører og tydeliggjøre hvordan tjenestene støtter virksomhetens kritiske forretningsfunksjoner.
Hensikten er å gi både organisasjonen og tilsynsmyndigheter et klart overblikk over avhengigheter og risikoer knyttet til IKT-tredjepartsleverandører.
Hva skal DORA-registeret inneholde?
For at DORA-registeret skal være komplett og oppfylle kravene i regelverket, må en rekke obligatoriske opplysninger være inkludert, som:
- Navn og kontaktinformasjon for IKT-leverandører
- Beskrivelse av de leverte IKT-tjenestene
- Informasjon om hvilke funksjoner tjenestene støtter
- Opplysninger om underleverandører
- Relevant kontraktsinformasjon (avtaleperioder, vilkår, exit-strategier)
Disse opplysningene gir nødvendig oversikt, slik at både virksomheten og tilsynsmyndighetene raskt kan identifisere potensielle risikoer og peke ut kritiske IKT-leverandører i henhold til DORA.
DORA-registeret er et ufravikelig krav
Et informasjonsregister er et eksplisitt krav i DORA. Alle finansielle virksomheter som omfattes av regelverket må opprette og vedlikeholde et oppdatert register over sine IKT-leverandører.
Hensikten er å gi tilsynsmyndighetene et tydelig og dokumenterbart overblikk over avhengigheter, risiko og kontrolltiltak. Når alle leverandørforhold og deres betydning for kritiske forretningsfunksjoner er systematisk dokumentert, blir det mulig å reagere proaktivt på sårbarheter og styrke den operasjonelle robustheten.
Slik bygger du opp informasjonsregisteret ditt
DORA stiller krav om at finansielle virksomheter etablerer og vedlikeholder et oppdatert informasjonsregister. For å lykkes med dette er det viktig med en strukturert og metodisk tilnærming til leverandørrelasjoner, og en tydelig forståelse av hvordan disse understøtter virksomhetens kritiske funksjoner.
Følgende punkter gir et godt grunnlag:
- Identifiser og dokumenter alle IKT-leverandører og de spesifikke tjenestene de leverer til virksomheten.
- Definer tydelig hvilke kritiske funksjoner hver leverandør støtter, og hvilken betydning de har for virksomhetens drift.
- Gjennomfør en grundig risikovurdering for hver enkelt IKT-leverandør, og vurder potensielle sårbarheter og konsekvenser ved nedetid eller sikkerhetsbrudd.
- Sørg for løpende vedlikehold av registeret. Det må oppdateres jevnlig slik at informasjonen til enhver tid gjenspeiler den faktiske situasjonen og leverandørsamarbeidene dine.
Ved å vedlikeholde DORA-registeret kontinuerlig, sikrer du både compliance, bedre risikostyring og en mer robust organisasjon.
Bruk DORA-registeret aktivt i risikostyringen
Et oppdatert og presist DORA-register kan styrke virksomhetens risikostyring og gi økt innsikt i digitale avhengigheter.
Ved å kartlegge leverandørrelasjoner og deres betydning for kritiske funksjoner på en strukturert måte, får du et mer treffsikkert grunnlag for strategiske beslutninger. Det gjør virksomheten bedre rustet til å håndtere risiko proaktivt, samtidig som det bidrar til mer effektiv drift og sikrer compliance.
