Rejestr informacji DORA
Nazywany w praktyce różnie: rejestrem informacji, RoI, rejestrem informacji DORA (DORA registers of information), czy wreszcie rejestrem klauzul umownych.
Czym on w istocie jest? Zacznijmy od podstawy z samego rozporządzenia DORA
Kolejno rozporządzenie precyzuje, że chodzi o to, aby:
- klauzule umowne były udokumentowane,
- rozróżniać, które ustalenia umowne dotyczą usług ICT wspierających istotne lub krytyczne funkcje (CIF), a które takich funkcji (non-CIF) nie wspierają.
A jeśli zastanawiasz się, czy Twoja umowa dotyczy w ogóle usług ICT, to polecam Ci przeczytanie tego tekstu, w którym wyjaśniam kwalifikować usługi ICT w rozumieniu DORA.
Cytowany wcześniej art. 28 DORA mówi także o obowiązku udostępnienia rejestru właściwemu organowi. W praktyce będzie to realizowane tak jak dzieje się w tym miesiącu (kwietniu) – krajowe organy nadzoru wzywają podmioty do przekazania rejestru. Kolejno krajowe organy przekażą zbiorcze informacje do organu europejskiego.
🤔jeśli z jakiegoś powodu, choćby pasji, interesuje Was skąd się wzięła w DORZE w ogóle funkcja krytyczna/istotna, to polecam kontekstowe poszukiwania i wnioski. Autor zaczął od MiFIDu i skończył na wytycznych EBA w sprawie outsourcingu.
TLDR; rozróżnienie to nie ma w praktyce istotnego znaczenia. ; )
Skąd wiadomo co ma znaleźć się w rejestrze?
Poza wprowadzającym przepisem DORY, nieodzowne (a może konieczne? 😉) będzie sięgnięcie do tzw. rozporządzenia wykonawczego ustanawiającego wykonawcze standardy techniczne, tzw. ITS o numerze 2024/2956.
To właśnie w tym ITSie znajdziemy ogólne wymogi dotyczące wzorów rejestru informacji oraz definicję, których nie ma w DORA, np. takie jak ranga (rank).
I to właśnie ten ITS omawiany jest przez organy europejskie i krajowe, która na marginesie dostrzegają nieścisłości pomiędzy ITSem a przygotowanymi formularzami sprawozdawczymi.
Jeśli komuś jest mało szkoleń organizowanych przez krajowy organ nadzoru, to warto spojrzeć dodatkowo na ten FAQ EBA.
W tej chwili warto zapamiętać, że jeśli jesteście podmiotem podlegającym pod nadzór KNF, to decydujące będzie sprawozdanie zamieszczone w systemie Komisji do sprawozdawczości DORA. Dobrze pamiętać również o materiałach pomocniczych, w których znajdziecie wzór wypełnionego sprawozdania czy instrukcję wypełniania. Słowo więcej na temat tego formularza w akapicie poniżej.
Jakie informacje zawiera rejestr DORA?
Spoglądając na sprawę generalnie – rejestr informacji (sprawozdanie dotyczące rejestru informacji zawiera kilkanaście arkuszy, które powiązane są ze sobą różnymi zależnościami. Często zależności te nazwane są nie przez określone frazy, a przez alfanumeryczne kody. Niejednokrotnie trzeba wprowadzać te same wartości w różnych arkuszach. Nie ma żadnego automatu, który pozwala na sprawniejsze uzupełnienie powtarzających się informacji. Wszystko, tj. każdą komórkę, przypilnować należy ręcznie. 🤯
No chyba, że skorzystacie z rozwiązań SaaS przygotowanych typowo pod to sprawozdanie. Wówczas, z tego co się orientuję, część elementów można zautomatyzować, a to dostawca martwi się, czy Wasz rejestr przejdzie walidację.
Przykładowe kategorie informacji
Informacje o podmiocie finansowym, w tym informacje o oddziałach. Jeśli nie masz oddziałów – to te arkusze nie wymagają uzupełnienia.
Informacje o umowach, w tym numery referencyjne umów, a dokładniej to numery klauzul umownych. Tutaj istnieje dowolność konstrukcji tych identyfikatorów i można zachować obowiązujące w organizacji identyfikatory. Ważne, by być konsekwentnym.
Warto jednak zapamiętać, że z informacji, które wydają się być przekazywane przez nadzór nie wystarczy oznaczyć umowę (a to przecież jest standard w przedsiębiorstwach), a należy oznaczyć każdą klauzulę indywidualnie.
Kto podpisuje umowy DORA?
Niekiedy to będą same podmioty finansowe. A innym razem podmioty (finansowe albo nie) z grupy, które zawierają umowy z dostawcami – zapewniając jednocześnie dostęp do usług podmiotowi finansowemu.
To wszystko
1.1. lit a-b ITS 2956
Informacje o usługach ICT i wspieranych przez te usługi funkcji, w tym informacje o poddostawcach, czyli w istocie katalog informacji, który ma odkryć łańcuch dostaw Waszych usług ICT. Przede wszystkim chodzi o dostawcę ICT, który zawarł umowę z Waszym bezpośrednim dostawcą usług ICT (to tutaj tworzy się podwykonawstwo). W zależności od pozycji dostawcy w łańcuchu – mogą mieć oni różne rangi, pierwszy podwykonawca będzie miał rangę 2, kolejny 3, itd.
🔔Pamiętajcie, że należy skupić się na podwykonawcach (poddostawcach), którzy wspierają istotną lub krytyczną funkcję biznesową.
Twierdzenie to opieram o motyw 6 ITS:
Definicje – nietypowy arkusz B_99.01
Na końcu znajdziecie miejsce na wytłumaczenie się z wewnętrznie stosowanych definicji i oznaczeń.
Podsumowanie dry-runa
Niektórzy z Was pamiętają pewnie, że w ubiegłym roku organy europejskie zaproponowały podmiotom finansowym udział w rozgrzewce (tzw. dry-runie). Doświadczenie to było chyba korzystniejsze dla samych organów, niż podmiotów rynku.
Okazało się, że tylko 6% z prawie 1.000 podmiotów finansowych, które przesłało RoI w ramach dry-runa wypełniło go poprawnie.
screen pochodzi z podsumowania dry-runa opublikowanego przez EBA.
Excel nie okazał się skuteczny do poprawnego zidentyfikowania łańcucha dostaw.
Przedsiębiorcy przytomnie, więc zapytali, to jak mamy wykonać obowiązki, które rozporządzenie na nas nakłada?
Kiedy pierwsze sprawozdanie z rejestru informacji?
Od 9 kwietnia temat ten w Polsce stał się bardzo realny. KNF opublikował w systemie sprawozdawczym DORA (DORA SSD) formularze sprawozdawcze i wezwał podmioty do wypełnienia formularza SPR-PF-18_Sprawozdanie dotyczące pełnego rejestru informacji do dnia 23 kwietnia 2025 r.
Więcej informacji na temat wypełnienia ROI znajdziecie na tej stronie Komisji.
🔔 Warto pamiętać, że punktem odcięcia dla danych ujawnianych w rejestrze powinien być dzień 31 marca 2025 r.
Na jakich formatach?
Istnieje portal do sprawozdawczości, o którym mowa powyżej. W ramach podsystemu komunikacji CRP istnieje system sprawozdawczości i to jest jedyny legitny sposób na złożenie tego obowiązkowego sprawozdania.
🔔Pamiętajcie. że wczoraj (14 kwietnia) pojawiła się nowa wersja formularza sprawozdawczego.
Kto powinien zajmować się wypełnianiem rejestru?
Moim zdaniem rejestr powinni wypełniać właściciele procesów, którzy mają chociażby podstawową wiedzę regulacyjną oraz rozumieją funkcje, które zostały powierzone dostawcom ICT. Rozumieją podstawowe zapisy umowne oraz zasady ciągłości działania.
Podsumowanie:
Nie mam odwagi, by rekomendować wypełnienie tego rejestru samodzielnie, o ile nie ma się na pokładzie in-housa, który rozumie DORA, zna procesy danej organizacji i dodatkowo ma kogoś do operacyjnego wsparcia. Może warto zastanowić się, czy istnieje dostawca wspierający ten proces albo przynajmniej doradca, który ćwiczy ten rejestr z kilkoma podmiotami o różnej wielkości i specyfice działalności.
Warto też, by takie narzędzia uwzględniały konkretne wyrażenia, które dla człowieka są zrozumiałe, czyli mówiąc wprost tłumaczyły kody na język naturalny.
