- Hjem
- aktuelt
- DORA – IKT-tjenesteavtaler skal rapporteres innen 13. mars 2026 – Nå begynner det å haste
DORA – IKT-tjenesteavtaler skal rapporteres innen 13. mars 2026 – Nå begynner det å haste
Alle foretak underlagt DORA skal rapportere sitt register over IKT-tjenesteavtaler innen 13. mars 2026. Det betyr at det kun er få uker igjen til rapporteringsfristen.
Hvem skal rapportere?
Alle foretak som er omfattet av DORA er rapporteringspliktige.
Rapportering skal skje på individuelt foretaksnivå dersom det rapporteringspliktige foretaket (i) ikke er del av et konsern, (ii) er del av en gruppe der morselskapet er etablert utenfor EU/EØS og det ikke finnes noe morselskap innenfor EU/EØS, eller (iii) foretaket har mor uten konsesjon.
Rapportering skal skje konsolidert på det høyeste konsolideringsnivået i EU/EØS for grupper av finansielle foretak.
Hva skal rapporteres?
Enheter som er omfattet av DORA skal ha register over alle IKT-tjenesteavtaler, et såkalt informasjonsregister. Alle foretakets IKT-tjenesteavtaler skal fremkomme av registeret, ikke bare avtaler som er kritiske eller viktige. Omfanget er med andre ord betydelig.
Det er informasjon om avtalene i informasjonsregisteret som nå for første gang skal rapporteres til Finanstilsynet. For IKT-tjenester som understøtter en kritisk eller viktig funksjon, skal også alle underleverandører som reelt bidrar til leveransen rapporteres. Det vil si alle underleverandører der et avbrudd vil kunne svekke sikkerheten eller kontinuiteten i tjenesteleveransen.
Dersom en konsernintern IKT-tjenesteleverandør benytter underleverandører, skal minst den første underleverandøren utenfor konsernet rapporteres – selv om IKT-tjenestene ikke understøtter en kritisk eller viktig funksjon.
Hvor skal det rapporteres?
Informasjonsregisteret skal rapporteres via Finanstilsynets e-Regulatory-portal, enten gjennom filopplastning eller manuell utfylling av "Reporting Forms". Dersom filopplastning benyttes skal informasjonsregisteret baseres på EBA sin mal som finnes på denne nettsiden.
e-Regulatory ble åpnet for testing 2. februar 2026. Vi anbefaler sterkt at alle virksomheter underlagt DORA gjør seg kjent med rapporteringssystemet så snart som mulig. Pålogging skjer gjennom ID-porten, og den som skal rapportere må ha nødvendige rettigheter på vegne av foretaket.
Tiden er knapp – og kravene er omfattende
Har din virksomhet ikke allerede startet arbeidet med informasjonsregisteret, er det avgjørende å komme i gang fort. DORAs krav til registeret er vesentlig mer omfattende enn det som følger av meldepliktforskriften § 1 både når det gjelder hvilke avtaler som skal rapporteres og antall datapunkter som skal registreres.
Erfaringen viser at innhenting av nødvendig informasjon fra leverandører og eventuelt interne systemer kan være tidkrevende. I tillegg forutsetter prosessen at virksomheten har gjennomført en såkalt BIA (Business Impact Analysis) og risikovurderinger, som er selvstendige krav etter DORA.
Det finnes i dag en rekke leverandører som tilbyr verktøy for å rapportere i samsvar med DORAs krav. Uavhengig av hvilken løsning man velger, er det viktig å starte kartleggingen nå.
Mer informasjon
Du finner mer informasjon om dette på Finanstilsynets temaside for DORA her.
Vi bistår deg med DORA-etterlevelse
I CLP har vi ekspertise i finansregulatorisk regelverk. I tillegg har vi ekspertise fra praktisk arbeid innen IKT-sikkerhet og implementering av nytt regelverk innen IKT.
Vi bistår i alle steg av implementeringen, inkludert kartlegging av virkeområde og tolkning av regelverk, samt utarbeidelse av prosesser, policyer og rutiner for risikostyring. Vi hjelper også med revisjon og etablering av DORA-tilpassede kontrakter, og utvikling og implementering av robuste rammeverk for risiko- og virksomhetsstyring.
