Formålet med denne side er, at samle og strukturere de spørgsmål, som deltagerne ønsker besvaret af Finanstilsynet i forbindelse med konferencen om DORA-forordningen. Læs mere om konferencen her.
Overordnede spørgsmål om DORA og governance
- Hvordan forventer Finanstilsynet, at pensionsvirksomheder balancerer mellem DORA’s krav til dyb leverandørstyring og samtidig undgår uforholdsmæssig administrativ byrde – især ved omfattende outsourcing og mange underleverandører?
- Hvilke governance-elementer forventer Finanstilsynet typisk vil mangle i de første DORA-tilsyn – især hos mellemstore aktører?
Leverandørstyring og due diligence
- Hvordan påvirker ESA’ernes udpegning af kritiske tredjepartsudbydere (pr. 18. november) de finansielle virksomheders forpligtelser til due diligence og kontraktkrav?
- Findes der standarder eller brancheskabeloner for, hvor grundig en due diligence skal være, og hvilken dokumentation der kræves før aftaleindgåelse?
- Hvordan ser Finanstilsynet på RTS-kravet om ‘subcontracting’ (2025/532) – især kendskab til hele leverandørkæden og overvågning af underleverandører? Hvor dybt skal virksomhederne gå i praksis?
Outsourcing vs. DORA – anvendelsesområde og overlap
- Kan Finanstilsynet give et overblik over anvendelsesområdet for outsourcingreglerne vs. DORA, herunder områder med overlap og konsekvenser for kontraktforhandlinger?
Specifikke fortolkninger og tekniske krav
- ITS Annex III indeholder 19 typer IKT-tjenester, inkl. S13: ‘Software Licensing (excluding SaaS)’. Skal alle softwarelicenskontrakter omfattes af kapitel V i DORA, eller kun hvis kriterierne for IKT-tjenester er opfyldt (løbende leverance)?
- Efter lempelser i RTS om subcontracting – hvor dybt skal man gå i leverandørkæden (leverandørens leverandører eller længere)?
- DORA nævner flere steder ”ordninger for brug af IKT-tjenester der understøtter kritisk eller vigtige funktioner”. Der levnes ikke umiddelbart rum for at indfortolke en forudsætning om, at understøttelsen skal have en vis karakter, og ikke blot være minimal/ubetydelig. Hvordan ser Finanstilsynet på dette. EIOPA har tilsyneladende 2 divergerende holdninger til dette – se 2750 – DORA006 vs. 2988 – DORA041
Rapportering og ROI
- Har formatet for ROI-indberetning ændret sig siden sidst, og hvornår forventes næste aflevering?
Risiko og konflikthåndtering
- Hvordan vægter Finanstilsynet koncentrationsrisiko ved valg af leverandør, herunder risiko for vendor lock-in?
- Når en interessekonflikt konstateres – hvilke kontraktuelle og operationelle foranstaltninger forventes, og hvad bør institutionens processer fange?
Vil du med på årets konferencen om DORA. Læs mere om konferencen og tilmeld dig her
