IKT-tredjepartsrisiko

IKT-tredjepartsrisiko er de risici, finansielle enheder påtager sig ved at anvende IKT-tjenesteudbydere. DORA stiller detaljerede krav om, at disse risici styres aktivt – herunder igennem kontraktuelle krav, løbende overvågning og exitstrategier.

Tilbage til ordbog

Hvad er IKT-tredjepartsrisiko?

IKT-tredjepartsrisiko opstår, når en finansiel enhed outsourcer eller køber IKT-tjenester fra eksterne leverandører – fx cloud computing, software-as-a-service (SaaS), datacentertjenester eller it-drift. Disse leverandørrelationer skaber afhængigheder og risici, der kan påvirke den finansielle enheds evne til at levere kritiske tjenester.

DORA kapitel V (artikel 28–44) udgør en af forordningens mest omfangsrige dele og dækker alt fra due diligence ved kontraktindgåelse til overvågning af kritiske IKT-tjenesteudbydere.

DORA's krav til tredjepartsstyring

DORA stiller følgende krav til styring af IKT-tredjepartsrisici:

Register over kontrakter: Finansielle enheder skal føre et register over alle IKT-tredjepartskontrakter, inkl. klassifikation af kritikalitet.
Due diligence: Grundig vurdering af IKT-tjenesteudbydere inden kontraktindgåelse, herunder deres sikkerhedsforanstaltninger og finansielle stabilitet.
Kontraktkrav: Specifikke minimumskrav til kontrakters indhold (se nedenfor).
Løbende overvågning: Regelmæssig vurdering af kritiske tredjeparters performance og sikkerhedsstatus.
Exitstrategier: Dokumenterede planer for opsigelse af kritiske aftaler uden at miste driftskontinuitet.
Koncentrationsrisiko: Vurdering og styring af risikoen ved at have for stor afhængighed af én eller få leverandører.

Kontraktuelle minimumskrav

DORA artikel 30 fastsætter de kontraktuelle elementer, der som minimum skal indgå i kontrakter med IKT-tjenesteudbydere for kritiske eller vigtige funktioner:

Klare servicebeskrivelser og serviceniveauaftaler (SLA'er).
Bestemmelser om tilgængelighed og sikkerhed.
Rapporteringspligt ved IKT-hændelser.
Ret til revision og inspektion.
Exitklausuler og overdragelsesret.
Bestemmelser om databehandling og -placering.
Bestemmelser om underleverandørers anvendelse.

Eksisterende kontrakter skal gennemgås: Finansielle enheder, der allerede har kontrakter med IKT-tjenesteudbydere, skal sikre, at disse opfylder DORA's minimumskrav ved næste kontraktfornyelse. Nye kontrakter skal overholde kravene fra 17. januar 2025.

Ofte stillede spørgsmål om ikt-tredjepartsrisiko

Gælder DORA's tredjepartskrav for alle leverandørkontrakter?

DORA's mest detaljerede kontraktkrav gælder primært for IKT-tjenesteudbydere, der understøtter kritiske eller vigtige funktioner. Men alle IKT-tredjepartskontrakter skal registreres og undergå en grundlæggende risikovurdering.

Hvad er forskellen på IKT-tredjepartsrisiko under DORA og leverandørkædesikkerhed under NIS2?

Begge adresserer risici fra leverandører, men DORA er langt mere detaljeret og specificerer præcise kontraktkrav, registreringspligter og et EU-tilsynsregime for kritiske IKT-tjenesteudbydere. NIS2's leverandørkædesikkerhed er mere principbaseret og bredere i sektordækning.

Hvad er koncentrationsrisiko i DORA-sammenhæng?

Koncentrationsrisiko refererer til faren ved overdreven afhængighed af en enkelt eller et lille antal IKT-tjenesteudbydere. DORA kræver, at finansielle enheder vurderer og styrer denne risiko under hensyntagen til den potentielle påvirkning, hvis en kritisk leverandør svigter eller forstyrres.

Regulerer DORA cloud-tjenesteudbydere direkte?

DORA indfører et tilsynsregime for kritiske IKT-tjenesteudbydere, herunder store cloud-udbydere. De europæiske tilsynsmyndigheder kan udpege udbydere som kritiske og underkaste dem direkte tilsyn, herunder henstillinger og mulighed for at kræve afhjælpning.

Hvad skal en exitstrategi for IKT-tredjepartsaftaler indeholde?

En exitstrategi skal omfatte planer for at migrere tjenester til alternative udbydere eller bringe dem in-house, overgangstidslinjer, ordninger for dataportabilitet og foranstaltninger til at sikre kontinuitet af kritiske funktioner i overgangsperioden.