DORA gerir kröfu um að fyrirtæki á fjármálamarkaði stýri áhættunni af aðkeyptri upplýsinga- og fjarskiptatækniþjónustu (ICT þjónustuveitendur) óháð því hvort starfsemin sem þjónustan styður við er mikilvæg eða ekki. Fyrirtæki bera alltaf ábyrgð á sinni þjónustu, jafnvel þótt verkefni séu framseld eða keypt af ytri aðila.
Helstu þættir stýringar eru:
- Stefnuáætlun
- Undirbúningur samninga (auðkenning, áhættumat, áreiðanleikakönnun)
- Samningar
- Eftirlit og úttektir
- Upplýsingaskrár
- Viðbragðs- og endurreisnaráætlanir
Fyrirsjáanlegt er að stýring ICT þjónustuveitenda, sem styðja við nauðsynlega og mikilvæga þjónustu, verður umfangsmikil og kostnaðarsöm. Til að lágmarka þessa umsýslu er mikilvægt að fyrirtæki á fjármálamarkaði afmarki vel hvaða þjónusta telst nauðsynleg og mikilvæg. Stýra þarf öllum ICT þjónustuveitendum en stýring þeirra sem styðja við nauðsynlega eða mikilvæga þjónustu er viðameiri.
Stefnuáætlun
Kröfur til stefnuáætlunar eru nánar tilgreindar í EB reglugerð 2024/1773. Stefnuáætlun tekur mið af tegund, þekktum áhættum, eðli þjónustunnar o.fl.
Meðal annars þarf áætlunin að innhalda:
- upplýsingar um viðhald hennar og rýni,
- hvernig auðkenning á ICT þjónustuveitendum sem styðja við nauðsynlega eða mikilvæga þjónustu fer fram,
- hvernig ábyrgð er skipt og hvaða hæfniskröfur eru gerðar til þeirra sem annast samningagerð og framfylgd þeirra,
- upplýsingar um framkvæmd áreiðanleikakönnunar á þjónustuveitanda
- upplýsingar um hvernig og hverjir annast vöktun á viðeigandi þáttum samnings,
- tilvísanir í úttektir og rýni á þjónustuveitendum og
- skyldur þjónustuveitenda til að veita aðgang að viðeigandi innviðum (húsnæði, skjöl, skrár).
Undirbúningur samninga
ESB reglugerð 2025/532 fjallar um þá þætti sem huga þarf að við val og mat á ICT þjónustuaðilum sem styðja við nauðsynlega og mikilvæga starfsemi.
- Áður en farið er í samningagerð þurfa fyrirtæki á fjármálamarkið að auðkenna sína ICT þjónustuveitendur og hverjir þeirra styðja við nauðsynlega eða mikilvæga starfsemi.
- Greina og meta þarf hvaða önnur skilyrði gætu átt við (persónuvernd, NIS, sérreglur og fyrirmæli eftirlitsyfirvalda).
- Greina og meta hvaða áhættur, sem hafa verið auðkenndar og eru undir stýringu í samræmi við áhættustýringarramma fyrirtækisins, eiga við hverja þjónustu.
- Framkvæma áreiðanleikakönnun á þjónustuveitendum s.s. orðspor, auðlindir, þekking, verklag, innri stýringar, vottanir, undirverktakar og sjálfbærni.
- Greina og meta mögulega hagsmunaárekstra.
Samningar
Í DORA eru tilgreind þau atriði sem samningar eiga að fela í sér. Kröfurnar eru tvískiptar, annars vegar það sem á við alla ICT þjónustuveitendur og hins vegar það sem kemur til viðbótar vegna þeirra sem styðja við nauðsynlega eða mikilvæga starfsemi/þjónustu.
Sameiginleg atriði eru um margt almenn t.d. uppsagnarréttur, lýsing á þjónustustigi (SLA), gagnaöryggi o.fl. Það sem er ítarlegra eða nýtt í sameiginlega hlutanum er að tilgreina þarf skyldur þriðja aðila gagnvart yfirvöldum, þátttaka í þjálfun (öryggisvitund), kröfur og heimildir gagnvart undirverktaka.
Atriði sem koma til viðbótar vegna ICT þjónustuveitenda sem styðja við nauðsynlega eða mikilvæga þjónustu eru snúa að ítarlegri lýsingu á þjónustustigi (SLA), skilgreiningu frammistöðumarkmiða, auknar eftirlits- og tilkynningarkröfur, prófanir, aðgangsheimildir, útgönguáætlun o.fl.
Eftirlit og úttektir
Fjármálafyrirtæki þurfa að gera úttektir á þjónustuveitendum sem styðja við nauðsynleg eða mikilvæga starfsemi. Hægt er að semja við þriðja aðila um framkvæmd úttekta en tryggja þarf að úttektarmenn búi yfir viðeigandi hæfni.
Ef þjónustuveitandi hefur verið tilnefndur „mikilvægur“ og er því undir eftirliti viðeigandi opinbers aðaleftirlitsaðila, er hægt að nýta niðurstöður opinbera eftirlitsins að hluta.
Upplýsingaskrár
Halda þarf yfirgripsmikla skrár um alla ICT þjónustuveitendur (þ.m.t. undirverktaka), með upplýsingum um þjónustu, áhættu, samningsdagsetningar og staðsetningu þjónustunnar, sbr. sniðmát í ESB reglugerð 2024/2956.
Uppfæra þarf skrána reglulega og hafa hana tiltæka fyrir eftirlitsaðila.
Viðbragðs- og endurreisnaráætlanir
Skjalfesta þarf áætlanir fyrir sem tryggja sem best samfellu í starfsemi sem tilgreind er sem nauðsynleg eða mikilvæg.
Um er að ræða hefðbundna skjalfestingu viðbragðs- og endurreisnaráætlana: tilgang, umfang, ábyrgð, forgangur, prófanir, viðhald, viðbrögð, aðgerðir o.s.frv.
DORA krefst þess að fjármálafyrirtæki hafi fulla yfirsýn yfir og stýri áhættu vegna ICT þjónustuveitenda. Umsýslan getur orðið veruleg, sérstaklega þegar þjónusta telst nauðsynleg eða mikilvæg.
Fyrstu skrefin er að greina hvaða þjónusta fellur í þennan flokk og kortleggja þá ferla sem þarf að útbúa eða aðlaga fyrir áhættustýringuna.
Sérfræðingar Gott og gilt eru reiðubúnir að veita góð ráð til fyrirtækja á fjármálamarkaði í þessum efnum.
Hildur Hannesdóttir (hildur@gottoggilt.is)
#DORA #ICTþjónustuveitendur #Fjármálamarkaður #Áhættustýring #Evrópureglugerð #Stefnuáætlun #Samningar #Úttektir #Rekstrarsamfella #Upplýsingatækni #RiskManagement