Informationsregistret – viktiga insikter

Efter att ha bistått flera kunder med upprättandet av informationsregistret enligt DORA har vi identifierat viktiga insikter och lärdomar som kan underlätta efterlevnad och hantering av registret. Nedan sammanfattas de viktigaste aspekterna att beakta vid upprättande och underhåll av informationsregistret. 

1. Ansvarsfördelning och rapportering

• Det är tillåtet att skicka en gemensam rapport för en koncern, men dotterbolag har fortfarande ansvar för att upprätthålla ett uppdaterat informationsregister som Finansinspektionen kan begära in.

2. Viktiga kolumner och datakvalitet

• Identifiera och säkerställ att alla nyckelkolumner (key values) är korrekt ifyllda. Om ingen relevant information finns, ska cellen fyllas i som ”Not Applicable” istället för att lämnas tomt. I det fall kolumner inte utgör key values kan cellen lämnas tomma. Detta gäller exempelvis för b_02.02.0170 vari känsligheten av data lagrad av tredjepartsleverantören av IKT-tjänster ska fyllas i. I det fall tredjepartsleverantören av IKT-tjänster inte lagrar någon data kan denna cell lämnas tom. 
  
• Duplicerade värden i registret är inte tillåtna för nyckelkolumner som kräver unik information. I cell 06.01 måste varje funktion anges unikt för alla finansiella entiteter i en företagsgrupp (Funktion, licensierad aktivitet, namn på aktiviteten och LEI-kod) se följande exempel:
  • Moderbolag: ”F1 – Licensierad aktivitet (”Reglera skada”) – [LEI-kod moderbolaget]
  • Dotterbolag: ”F2 – Licensierad aktivitet (”Reglera skada”) – [LEI-kod dotterbolaget]
  • Även om det rör sig om samma funktion krävs en unik identifiering enligt ovan.

3. Viktiga förändringar och krav sedan första utkastet på ITS (Implementing technical standards)

• LEI-koder som har utgått får användas vid första inrapporteringen. Men vid nästa inrapportering kommer det krävas gällande LEI-koder.
• Avslutade kontrakt ska inte längre inkluderas i registret.
• Underleverantörers (R2) underleverantörer (R3) ska endast anges om de är kopplade till kritiska eller viktiga funktioner.
• Landet där IKT-tjänsten tillhandahålls ska inte förväxlas med bolagets säte. Det avser platsen där tjänsten de facto tillhandahålls.
• Gemensamma IKT-avtal mellan moderbolag och dotterbolag ska även inkluderas under fält 02.02 i registret.
• ”Level of Reliance” dvs. Graden av beroende syftar inte på beroendet till tredjepartsleverantören av IKT-tjänster utan snarare på beroendet av funktionen där ett potentiellt avbrott inträffar och påverkar funktionen väsentligt dvs. att avbrottet varar längre än några minuter/timmar och skulle kunna orsaka skador i verksamheten.

4. Rekommendationer och vad informationsregistret kan användas till

• Upprätta en rutin för kontinuerlig uppdatering och validering av informationsregistret.
• Använd tydliga och unika identifieringar för att undvika dupliceringar och säkerställ att alla nödvändiga celler är korrekt ifyllda.
• Använd informationsregistret för att kartlägga koncentrationsrisken till tredjepartsleverantörer av IKT-tjänster som stödjer kritiska eller viktiga funktioner i verksamheten.
• Använd informationsregistret för att ta fram kostnadsanalyser avseende tredjepartsleverantörer av IKT-tjänster.
• Använd informationsregistret för att kartlägga vilka exitplaner som finns dokumenterade och bedöma utbytbarheten av leverantörer.
• Använd informationsregistret för att kartlägga vart bolagets data lagras och behandlas.
• Använd informationsregistret för att identifiera underleverantörskedjor och leverantörer som befinner sig i tredjeland.