DNB: DORA - voorlopig format en proces voor rapporteren informatieregister
DNB: DORA - voorlopig format en proces voor rapporteren informatieregister
DORA is een Europese verordening die tot doel heeft de digitale weerbaarheid van de financiële sector te vergroten en is van toepassing per 17 januari 2025. Onder DORA moeten financiële instellingen een informatieregister bijhouden voor alle contractuele overeenkomsten over het gebruik van door derde aanbieders verleende ICT-diensten (DORA artikel 28, lid 3). Voor het informatieregister is een draft standaardmodel beschikbaar dat zal gelden voor alle financiële instellingen waarop DORA van toepassing is.
Het is van groot belang dat financiële instellingen begin 2025 hun informatieregisters klaar hebben en aan DNB kunnen rapporteren. De informatieregisters bieden inzicht voor instellingen zelf en voor de toezichthouder. Zo ondersteunen ze financiële instellingen allereerst bij het monitoren van het ICT-risico van derde aanbieders. Daarnaast ondersteunen de registers DNB in het toezicht op het ICT-risicomanagement van financiële instellingen en bieden ze EBA, EIOPA en ESMA (de ESA's) waardevolle informatie voor de aanwijzing van kritieke derde aanbieders van ICT-diensten (CTPP’s) die onder het Europese oversightraamwerk (DORA artikel 31 – 44) gaan vallen.
Format en proces voor het rapporteren van het informatieregister
Hoewel het definitieve format voor het rapporteren van het informatieregister nog niet is vastgesteld door de ESA’s, verwacht DNB dat voor de steady-state per 2025 wordt gekozen voor rapportering in de vorm van xBRL-CSV met een tabelgeoriënteerde lay-out voor de data (ook wel genoemd ‘plain CSV’).
Om het rapportageproces van financiële instellingen naar DNB en van DNB naar de ESA’s zo effectief en efficiënt mogelijk in te richten, is DNB voornemens om de rapportagestandaard die de ESA’s zullen hanteren te volgen. Onder DORA rapporteren financiële instellingen hun informatieregister bij DNB, waarna DNB dit ter beschikking stelt aan de ESA’s. Een uitzondering geldt voor de grote banken (significant institutions) die onder direct toezicht van de ECB staan. Zij rapporteren hun informatieregister direct bij de ECB.
Om financiële instellingen te ondersteunen die implementatie van de rapportagestandaard niet tijdig gereed krijgen, zal DNB in 2025 naast de steady-state aanlevermethode ook een alternatieve aanlevermethode beschikbaar stellen. Financiële instellingen die hiervan gebruik wensen te maken leveren het informatieregister aan in een vooraf gedefinieerd Excel-template. DNB zal het Excelbestand vervolgens converteren naar de rapportagestandaard zoals opgesteld door de ESA's. Het Excelbestand dat hiervoor gebruikt dient te worden verwachten we later dit jaar te publiceren.
DNB zal definitieve besluitvorming over de rapportagestandaard voor het informatieregister zo spoedig mogelijk communiceren.