TL;DR: Rejestr Informacji DORA to nowy, krytyczny obowiązek prowadzenia rejestru umów, który objął każdy podmiot finansowy. Jego przygotowanie stanowi potężne wyzwanie – w testach unijnych zaledwie kilka procent firm złożyło go poprawnie. Ten przewodnik przeprowadzi Cię krok po kroku przez stworzenie rejestru, wyjaśni, jak unikać kosztownych błędów, zrozumieć skomplikowane szablony i terminowo złożyć sprawozdanie, zapewniając pełną zgodność z DORA.
Czym jest Rejestr Informacji DORA i dlaczego DORA wymaga jego prowadzenia?
Rejestr Informacji, często nazywany w skrócie RoI (Register of Information), wyrasta na jeden z najbardziej pracochłonnych obowiązków narzuconych przez rozporządzenie DORA. Jego formalną podstawę odnajdziemy w art. 28 DORA oraz w szczegółowym rozporządzeniu wykonawczym (ITS).
Celem nadrzędnym jest zapewnienie organom nadzoru bezprecedensowego wglądu w siatkę zależności, jakie łączą instytucje finansowe a dostawców usług ICT. Nadzorcy chcą precyzyjnie zmapować potencjalne ryzyko systemowe, identyfikując, który zewnętrzny dostawca usług ICT stanowi kluczowe ogniwo dla stabilności całego sektora finansowego.
To już nie jest tylko kwestia zgodności – to strategiczny element zarządzania ryzykiem ICT i budowania cyfrowej odporności operacyjnej.
Sprawdź również: Definicja usługi ICT w rozumieniu rozporządzenia DORA
Krok 1: Jakie dane i ustalenia umowne musi zawierać rejestr?
Przygotowanie rejestru przypomina tworzenie szczegółowej mapy powiązań. Każdy podmiot finansowy musi zidentyfikować i opisać każdą, nawet najmniejszą umowę dotyczącą usług ICT. Struktura sprawozdania, oparta na kilkunastu szablonach, wymusza więc holistyczne podejście.
Konieczne jest zmapowanie wszystkiego, od podstawowych danych identyfikujących Twoją firmę i jej oddziały (szablony z grupy RT.01), przez drobiazgową ewidencję poszczególnych ustaleń umownych (RT.02), aż po szczegółowe informacje dotyczące oceny ryzyka, zastępowalności dostawców i plany wyjścia, szczególnie dla usług ICT wspierających funkcje krytyczne (RT.07).
Jednym z najbardziej złożonych zadań jest wierne odtworzenie całego łańcucha dostaw (RT.05). Regulator wymaga przypisania każdemu podmiotowi w tym łańcuchu odpowiedniej „rangi”. Twój bezpośredni dostawca ICT otrzymuje rangę 1, jego podwykonawca, realizujący w ramach świadczenia usług kluczowe zadania dla Ciebie, otrzymuje rangę 2, i tak dalej.
Prawidłowe zidentyfikowanie tych wielopoziomowych zależności i ryzykiem związanym z dostawcami, zwłaszcza w kontekście funkcji o krytycznym znaczeniu, stanowi trzon całego sprawozdania.
Krok 2: Jak zorganizować proces w firmie i kto odpowiada za prowadzenie rejestru?
Błędem jest postrzeganie rejestru DORA jako zadania wyłącznie dla działu IT. To interdyscyplinarny projekt strategiczny, którego powodzenie zależy od ścisłej współpracy z dostawcami ICT. Liderem procesu powinien być doświadczony menedżer, który rozumie zarówno technologię, jak i regulacje. Niezbędne jest powołanie zespołu projektowego, w którym znajdą się przedstawiciele działu prawnego, compliance, IT oraz kluczowych jednostek biznesowych.
To właśnie menedżerowie najlepiej wiedzą, które systemy i usługi ICT świadczone przez zewnętrznych dostawców wspierają krytyczne procesy w firmie. Wyobraźmy sobie średniej wielkości dom maklerski: prawnik analizuje ustalenia umowne, specjalista IT identyfikuje dostawców usług chmurowych, a dyrektor operacyjny określa, które z tych usług są niezbędne do nieprzerwanego funkcjonowania systemów transakcyjnych. Tylko taka synergia gwarantuje kompletność i poprawność danych.
Krok 3: Jakie narzędzia wybrać i jak uniknąć błędów w zgodności z DORA?
W grudniu 2024 roku Europejskie Urzędy Nadzoru (ESA) opublikowały alarmujące wyniki dobrowolnego ćwiczenia „dry run”, mającego na celu przygotowanie sektora finansowego do nowych obowiązków sprawozdawczych wynikających z rozporządzenia DORA. Z ponad 947 przeanalizowanych Rejestrów Informacji (RoI) o umowach z dostawcami ICT, zaledwie 6,5% przeszło wszystkie testy jakości danych. Ten wynik, choć spodziewany, rzucił światło na ogromne wyzwania, przed którymi stanęły instytucje finansowe w przededniu wejścia w życie DORA.
Największym problemem okazała się kompletność danych. Aż 86% wszystkich wykrytych błędów dotyczyło braku obowiązkowych informacji.
Do najczęściej brakujących danych należały:
- Identyfikatory dostawców ICT i ich jednostek dominujących: Kluczowe dla procesu identyfikacji krytycznych dostawców (CTPP) przez ESA.
- Szczegółowe informacje o umowach: Często brakowało danych w szablonie B_02.02, dotyczącym specyfiki kontraktów, oraz B_07.01, opisującym ocenę ryzyka usług wspierających funkcje krytyczne.
- Identyfikator funkcji (Function Identifier): Niezbędny do powiązania usług ICT z konkretnymi procesami biznesowymi w firmie.
Drugim najczęstszym problemem (6,5% błędów) było użycie nieprawidłowych kodów LEI (Legal Entity Identifier). Co ciekawe, więcej nieprawidłowych kodów dotyczyło samych podmiotów finansowych niż ich dostawców. LEI jest już dzisiaj jedynym dopuszczalnym identyfikatorem dla instytucji raportujących, a jego brak uniemożliwia przetworzenie zgłoszenia.
To pokazuje skalę wyzwania. Bardzo często głównym winowajcą okazała się próba zarządzania tak złożonym zbiorem danych przy użyciu zwykłych arkuszy kalkulacyjnych. Jednak musisz pamiętać, że rejestr informacji o umowach to sieć wzajemnych powiązań. Ręczne wprowadzanie i aktualizowanie setek alfanumerycznych identyfikatorów, którymi oznaczane są umowy z dostawcami, nieuchronnie prowadzi do błędów – literówek, zerwanych odniesień czy niespójności logicznych. Tego nie wyłapie prosta formuła.
Motyw (8) ITS wprost mówi o czterech kluczach (keys) łączących dane w szablonach (numer referencyjny umowy, identyfikator podmiotu, identyfikator funkcji, typ usługi ICT). Cała struktura załączników opiera się na relacyjnym modelu danych, gdzie informacje z jednego szablonu muszą być spójne z innym.
Dedykowane narzędzia SaaS posiadają wbudowane mechanizmy walidacji, które pilnują tych zależności, znacząco redukując ryzyko związane z ICT i ryzyko odrzucenia sprawozdania. Wybór między Excelem a specjalistycznym oprogramowaniem to strategiczna decyzja o zarządzaniu ryzykiem związanym z ICT. Inwestycja w odpowiednie narzędzie często okazuje się tańsza niż koszty związane z potencjalnymi karami i utratą reputacji.
Krok 4: Jak i kiedy złożyć sprawozdanie, czyli raportowanie zgodne z DORA
Nadzór nie będzie na Ciebie czekał. Komisja Nadzoru Finansowego wyznaczyła konkretne terminy na złożenie sprawozdania, a jedyną dopuszczalną drogą jest dostęp do systemów sprawozdawczych DORA (DORA SSD). Należy pamiętać, że jest to obowiązek cykliczny. Prowadzenie rejestru informacji musi odbywać się na bieżąco, a co najmniej raz w roku instytucje finansowe przedstawiają właściwym organom zbiorcze dane o nowych ustaleniach umownych.
W praktyce oznacza to konieczność wdrożenia stałego procesu monitorowania i ewidencjonowania zmian w relacjach z dostawcami ICT.
Sprawdź również: Rozporządzenie DORA – czym jest i jakie stawia wymogi?
Rejestr informacji o umowach z dostawcami ICT – kluczowe wnioski
Stworzenie poprawnego Rejestru Informacji zgodnego z wymogami DORA wymaga starannego planowania, zaangażowania wielu działów i odpowiednich narzędzi. To test dojrzałości operacyjnej organizacji w nowej, cyfrowej rzeczywistości regulacyjnej. Zanim uznasz projekt za zamknięty, zadaj sobie kilka kontrolnych pytań. Czy na pewno zmapowaliśmy wszystkich poddostawców dla funkcji krytycznych? Czy nasze wewnętrzne identyfikatory umów z dostawcami usług ICT są unikalne i stosowane konsekwentnie we wszystkich szablonach? Czy proces aktualizacji rejestru został jasno zdefiniowany i ma swojego właściciela? Odpowiedź na te pytania zdecyduje, czy znajdziesz się w elitarnych 6%, które pomyślnie przeszły test, czy w przytłaczającej większości, która będzie musiała poprawiać swoje sprawozdanie pod presją czasu.