Dora Register Solution

CSV/JSON

Załącznik IV do dyrektywy AIFMD
BCL CDDP - V
BCL Reporting
CbCR
CRS
CSSF S3
CSSF U1.1
DORA register
Fatca
FORMULARZ PF

Proszę skontaktować się z nami, aby dowiedzieć się więcej

Fund XP’s Rejestr informacji Dora

Fund XP zapewnia kompleksowe rozwiązanie pomagające podmiotom finansowym w skutecznym tworzeniu rejestru DORA zawierającego informacje wymagane przez organy finansowe.

Fund XP upraszcza ten proces poprzez usprawnienie generowania rejestru w wymaganym formacie XBRL JSON/CSV ZIP.

Co ważne, ESA nie będzie dostarczać narzędzi ani skryptów do generowania rejestru, jak to miało miejsce podczas ćwiczenia Dry Run. Fund XP oferuje niezawodne rozwiązanie zapewniające, że Państwa rejestr jest prawidłowo sformatowany i gotowy do złożenia bez dodatkowego ręcznego wysiłku.

Jak to działa?

Wykorzystując szablon Excel, Fund XP integruje zaawansowane funkcje, aby zapewnić płynne tworzenie danych, walidację i kontrole. Nasze rozwiązanie automatyzuje proces kompilacji i weryfikacji krytycznych informacji, drastycznie zmniejszając liczbę błędów ręcznych i poprawiając wydajność. Ponieważ raportowanie odbywa się co roku, a dane pozostają stosunkowo stabilne, naszym celem jest zapewnienie prostego, wydajnego i opłacalnego rozwiązania, które pozwala uniknąć niepotrzebnej złożoności, zapewniając jednocześnie wiarygodne wyniki. Wszystko odbywa się lokalnie w Państwa systemie, zapewniając pełną kontrolę nad danymi i procesami.

Rozwiązanie działa w wielu jurysdykcjach i jest w pełni zgodne z jurysdykcjami, które wymagają archiwizacji w formatach CSV/JSON.

Proszę się z nami skontaktować!

Czym jest rejestr informacji Dora?

Rozporządzenie wykonawcze Komisji (UE) 2024/2956, przyjęte w dniu 29 listopada 2024 r., ustanawia wykonawcze standardy techniczne, o których mowa w art. 28 ust. 9 rozporządzenia (UE) 2022/2554 (DORA). Jego główną funkcją jest ustanowienie zestawu standardowych szablonów rejestru informacji, które podmioty finansowe muszą prowadzić w odniesieniu do korzystania przez nie z usług ICT świadczonych przez dostawców zewnętrznych.
Informacje gromadzone za pośrednictwem tego standardowego rejestru mają służyć wielu strategicznym celom, jak określono w motywie (1):
Wewnętrzne zarządzanie ryzykiem ICT: Zapewnienie podmiotom finansowym ustrukturyzowanego przeglądu ich zależności ICT na potrzeby własnej oceny ryzyka i zarządzania nim.
Nadzór: Umożliwienie właściwym organom skutecznego nadzorowania zarządzania przez podmioty finansowe ryzykiem stron trzecich w zakresie ICT.
Nadzór nad dostawcami krytycznymi: Dostarczenie głównemu nadzorcy informacji niezbędnych do ustanowienia i prowadzenia nadzoru nad wyznaczonymi krytycznymi dostawcami zewnętrznymi ICT.
Wyznaczenie dostawców krytycznych: Wspieranie europejskich organów nadzoru (EBA, EIOPA, ESMA) w ich corocznym procesie wyznaczania zewnętrznych dostawców usług ICT o krytycznym znaczeniu dla sektora finansowego.

Payconiq Testimonial

DORA ROI Linkedin Payconiq testimonial

PANDOO TESTIMONIAL

PANDOO DORA register solution testimonial

Kto jest zobowiązany do prowadzenia tego rejestru informacji i na jakich poziomach?

Rozporządzenie ma zastosowanie do wszystkich podmiotów finansowych objętych zakresem DORA. W przypadku podmiotów finansowych, które są częścią grupy, jednostka dominująca jest odpowiedzialna za określenie zakresu konsolidacji rejestru. Ramy umożliwiają grupom prowadzenie jednego, ujednoliconego rejestru na poziomie skonsolidowanym lub subskonsolidowanym. Ten pojedynczy rejestr musi być jednak skonstruowany w taki sposób, aby umożliwić każdemu podmiotowi finansowemu w ramach grupy spełnienie własnych obowiązków sprawozdawczych.

Jaki jest główny cel tego nowego rozporządzenia UE?

Rozporządzenie to, rozporządzenie wykonawcze Komisji (UE) 2024/2956, ma na celu ustanowienie standardowych szablonów rejestru informacji dotyczących ustaleń umownych w sprawie korzystania z usług ICT świadczonych przez zewnętrznych usługodawców na rzecz sektora finansowego. Głównym celem jest zwiększenie cyfrowej odporności operacyjnej poprzez zapewnienie kluczowych informacji na potrzeby wewnętrznego zarządzania ryzykiem ICT przez podmioty finansowe, skutecznego nadzoru przez właściwe organy, nadzoru nad krytycznymi zewnętrznymi dostawcami usług ICT oraz corocznego procesu wyznaczania krytycznych zewnętrznych dostawców usług ICT przez Europejskie Urzędy Nadzoru (ESA).

Błędy DORA: Wytyczne dotyczące komunikatów o błędach w rejestrze RoI

DORA errors : RoI Register Error Message Guidance

Transpozycja DORA przez Luksemburg

W Luksemburgu DORA ma bezpośrednie zastosowanie od stycznia 2025 roku. CSSF i CAA zostały wyznaczone jako organy zapewniające zgodność z DORA. Szczegółowe przepisy ustawowe i wykonawcze, takie jak okólnik CSSF 24/847, zostały już wprowadzone w celu usprawnienia zgłaszania incydentów i dostosowania do ram DORA.

Które podmioty finansowe są objęte zakresem DORA?

(a) instytucje kredytowe;
(b) instytucje płatnicze, w tym instytucje płatnicze wyłączone na mocy dyrektywy (UE) 2015/2366;
(c) dostawcy usług dostępu do informacji o rachunku;
(d) instytucje pieniądza elektronicznego, w tym instytucje pieniądza elektronicznego wyłączone na mocy dyrektywy 2009/110/WE;
(e) firm inwestycyjnych;
(f) dostawców usług w zakresie kryptoaktywów i emitentów tokenów powiązanych z aktywami;
(g) centralne depozyty papierów wartościowych
(h) partnerów centralnych
(i) systemy obrotu
(j) repozytoria transakcji
(k) zarządzających alternatywnymi funduszami inwestycyjnymi
(l) spółki zarządzające
(m) dostawców usług w zakresie udostępniania informacji
(n) zakłady ubezpieczeń i zakłady reasekuracji;
(o) pośredników ubezpieczeniowych, pośredników reasekuracyjnych i pomocniczych pośredników ubezpieczeniowych;
(p) instytucji pracowniczych programów emerytalnych
(q) agencje ratingowe
(r) administratorów kluczowych wskaźników referencyjnych;
(s) dostawców usług finansowania społecznościowego; oraz
(t) repozytoria sekurytyzacji

Co to jest bezpośredni zewnętrzny dostawca usług ICT?

Zewnętrzny dostawca usług ICT lub wewnątrzgrupowy dostawca usług ICT, który podpisał umowę z:
(a) podmiotem finansowym w celu świadczenia usług ICT bezpośrednio na rzecz tego podmiotu finansowego;
(b) podmiotem finansowym lub niefinansowym w celu świadczenia usług na rzecz innych podmiotów finansowych w ramach tej samej grupy;

Czym jest łańcuch dostaw usług ICT?

Sekwencja ustaleń umownych związanych z usługą ICT świadczoną przez bezpośredniego zewnętrznego dostawcę usług ICT na rzecz podmiotu finansowego, począwszy od bezpośredniego zewnętrznego dostawcy usług ICT, który ma jednego lub wielu innych zewnętrznych dostawców usług ICT jako kontrahentów (podwykonawców);

Skontaktuj się z nami!

Jakie kluczowe informacje o usługach ICT i dostawcach zewnętrznych muszą być zawarte w rejestrze?

Rejestr musi zawierać szczegółowe informacje o usługach ICT i ich dostawcach. Obejmuje to ogólne informacje o podmiocie finansowym prowadzącym rejestr, szczegóły dotyczące podmiotów objętych konsolidacją i ich oddziałów, a także ogólne i szczegółowe informacje na temat ustaleń umownych z bezpośrednimi zewnętrznymi dostawcami usług ICT. Co najważniejsze, musi on również zawierać informacje na temat łańcucha dostaw usług ICT, identyfikując wszystkich bezpośrednich zewnętrznych dostawców usług ICT i podwykonawców, którzy stanowią podstawę krytycznych lub ważnych funkcji. Ponadto należy podać szczegółowe informacje na temat identyfikacji funkcji wspieranych przez usługi ICT, oceny ryzyka tych usług (w tym zastępowalności i wpływu zaprzestania świadczenia usług) oraz wewnętrznej terminologii stosowanej przez podmioty finansowe.

Jakie są podstawowe wymogi dotyczące rejestru informacji?

Jakość i formatowanie danych

Rozporządzenie kładzie duży nacisk na jakość i strukturę danych w rejestrze.
Zasady jakości danych: Podmioty finansowe muszą zapewnić zgodność informacji z sześcioma zasadami: dokładności, kompletności, spójności, integralności, jednolitości i ważności.
Struktura szablonu: Szablony są zaprojektowane jako neutralne technologicznie otwarte tabele z predefiniowaną liczbą kolumn i nieokreśloną liczbą wierszy, co pozwala na skalowalność. Konstrukcja ta opiera się na doświadczeniach zdobytych podczas wcześniejszego gromadzenia danych przez Europejskie Urzędy Nadzoru i właściwe organy.
Klucze relacyjne: System wykorzystuje cztery klucze podstawowe do utworzenia struktury relacyjnej łączącej dane w różnych szablonach:
1. Numer referencyjny ustaleń umownych.
2. Identyfikator podmiotów finansowych i dostawców ICT (LEI/EUID).
3. Identyfikator funkcji.
4. Rodzaj usługi teleinformatycznej.

Obowiązkowa identyfikacja podmiotu

Aby zapewnić spójną i dokładną identyfikację wszystkich stron, rozporządzenie nakazuje stosowanie określonych identyfikatorów dla osób prawnych.
Podmioty finansowe: Identyfikowane za pomocą identyfikatora podmiotu prawnego (LEI).
Zewnętrzni dostawcy usług ICT:
Dostawcy mający siedzibę w Unii muszą być identyfikowani za pomocą LEI lub niepowtarzalnego europejskiego identyfikatora (EUID), a także obu tych identyfikatorów, jeśli są dostępne.
Dostawcy mający siedzibę w państwach trzecich muszą być identyfikowani wyłącznie za pomocą LEI.
Osoby fizyczne działające w charakterze przedsiębiorców mogą używać alternatywnych kodów identyfikacyjnych (np. numer paszportu, krajowy numer identyfikacyjny).
Wymóg ten obejmuje wszystkich podwykonawców, którzy wspierają krytyczne lub ważne funkcje.

Jakie informacje należy podać?

Kod szablonu Nazwa szablonu Krótki opis
B_01.01 Podmiot prowadzący
rejestr informacji		 Ten szablon identyfikuje podmiot prowadzący i aktualizujący rejestr
informacji na poziomie jednostki, subskonsolidowanym i skonsolidowanym,
odpowiednio.
B_01.02 Lista podmiotów objętych
zakresie konsolidacji		 Ten szablon identyfikuje wszystkie podmioty należące do grupy. W przypadku gdy
podmiot finansowy odpowiedzialny za prowadzenie i aktualizację rejestru
informacji nie należy do grupy, w tym szablonie należy zgłosić tylko ten podmiot finansowy.
w tym szablonie.
B_01.03 Lista oddziałów W tym szablonie identyfikuje się oddziały podmiotów finansowych, o których mowa w
o których mowa w szablonie B_01.02.
B_02.01 Ustalenia umowne
ustalenia umowne – informacje ogólne
informacje		 Niniejszy szablon zawiera wykaz wszystkich ustaleń umownych z bezpośrednimi dostawcami usług
dostawcami usług ICT.
W odniesieniu do każdego ustalenia umownego z bezpośrednim zewnętrznym dostawcą usług ICT
podmiot finansowy prowadzący rejestr informacji powinien
przypisuje niepowtarzalny „numer referencyjny uzgodnienia umownego” w celu identyfikacji
jednoznacznej identyfikacji samego ustalenia umownego.
B_02.02 Ustalenia umowne
ustalenia umowne – szczegółowe
informacje		 Niniejszy szablon zawiera szczegółowe informacje dotyczące każdego ustalenia umownego
wymienionych w szablonie B_02.01 w odniesieniu do:
(a) usług ICT wchodzących w zakres ustaleń umownych;
(b) funkcji podmiotów finansowych wspieranych przez te usługi ICT;
(c) innych ważnych informacji związanych z konkretnymi świadczonymi usługami ICT (np.
(np. okres wypowiedzenia, prawo regulujące umowę itp.)
B_02.03 Wykaz wewnątrzgrupowych
ustaleń umownych wewnątrz grupy		 Ten szablon określa powiązania między wewnątrzgrupowymi ustaleniami umownymi
i ustaleniami umownymi z zewnętrznymi dostawcami usług ICT, którzy nie są częścią grupy.
dostawcami usług ICT, którzy nie są częścią grupy, używając numerów referencyjnych
w ramach łańcucha dostaw usług ICT.
B_03.01 Podmioty podpisujące
podpisujące ustalenia umowne
dotyczące otrzymywania usług
usługi (usług) ICT lub w imieniu
podmiotów korzystających z
usług(y) ICT		 Ten szablon zawiera informacje o podmiocie podpisującym ustalenia umowne z bezpośrednim dostawcą usług
z bezpośrednim zewnętrznym dostawcą usług ICT dla podmiotu
podmiotem korzystającym z usług ICT. W przypadku gdy rejestr informacji jest prowadzony i aktualizowany na poziomie podmiotu
i aktualizowany na poziomie podmiotu, podmiot podpisujący ustalenia umowne i podmiot korzystający z usług
z usług ICT jest podmiot finansowy prowadzący i aktualizujący rejestr informacji.
rejestru informacji.
W kontekście subkonsolidacji i konsolidacji, podmiotem finansowym
korzystający ze świadczonych usług ICT niekoniecznie jest podmiotem
podpisującym umowę z zewnętrznymi dostawcami usług ICT.
dostawcami usług ICT.
B_03.02 Zewnętrzni dostawcy usług
dostawcy usług ICT podpisujący
ustalenia umowne
na świadczenie usług
usługi ICT		 Ten szablon identyfikuje wszystkich zewnętrznych dostawców usług ICT, o których mowa
w szablonie B_05.01, którzy podpisali ustalenia umowne, o których mowa w szablonie
w szablonie B_02.01 na świadczenie usług ICT.
B_03.03 Podmioty podpisujące
porozumienia umowne
na świadczenie usług
ICT na rzecz innych podmiotów
w zakresie
konsolidacji		 W niniejszym szablonie wskazano wszystkie podmioty, o których mowa w szablonie B_01.02
podpisujące ustalenia umowne, o których mowa w szablonie B_02.01, dotyczące
świadczenia usług ICT na rzecz innych podmiotów objętych konsolidacją.
B_04.01 Podmioty korzystające z
z usług ICT		 Ten szablon identyfikuje wszystkie podmioty korzystające z usług ICT
świadczonych przez zewnętrznych dostawców usług ICT i zarejestrowanych w rejestrze
informacji.
Podmiotami korzystającymi z usług ICT są albo podmioty finansowe objęte zakresem
finansowe lub dostawcy usług ICT wewnątrz grupy.
W przypadku gdy rejestr informacji jest prowadzony i aktualizowany na poziomie podmiotu
i aktualizowany na poziomie podmiotu, podmiot podpisujący ustalenia umowne i podmiot korzystający z usług
korzystający z usług ICT to podmiot finansowy prowadzący rejestr.
B_05.01 Zewnętrzni dostawcy usług
dostawcy usług ICT		 Niniejszy szablon zawiera wykaz i ogólne informacje umożliwiające identyfikację:
(a) bezpośrednich zewnętrznych dostawców usług ICT;
(b) dostawców usług ICT wewnątrz grupy;
(c) wszystkich podwykonawców uwzględnionych w szablonie B_05.02 dotyczącym łańcucha dostaw usług ICT
ICT;
(d) jednostkę dominującą najwyższego szczebla zewnętrznych dostawców usług
dostawców usług ICT wymienionych w lit. a), b) i c).
B_05.02 Łańcuch dostaw usług ICT Ten szablon identyfikuje i łączy zewnętrznych dostawców usług ICT, którzy
są częścią tego samego łańcucha dostaw usług ICT.
Podmioty finansowe identyfikują i klasyfikują zewnętrznych dostawców usług
dostawców usług ICT dla każdej usługi ICT zawartej w każdym porozumieniu umownym.
Przykład: podmiot finansowy posiada ustalenia umowne z zewnętrznym dostawcą usług ICT
zewnętrznym dostawcą usług ICT („zewnętrzny dostawca usług ICT X”) w celu otrzymania
2 określonych usług ICT („usługa ICT A” i „usługa ICT B”), a dostawca usług
usługodawca korzysta z usług podwykonawcy („zewnętrzny dostawca usług ICT
Y”) w celu świadczenia jednej z tych usług („usługa ICT B”).- W odniesieniu do usługi ICT A, łańcuch dostaw usług ICT składa się z jednego zewnętrznego dostawcy usług ICT.
z jednego zewnętrznego dostawcy usług ICT, zewnętrznego dostawcy usług ICT
W odniesieniu do usługi ICT A łańcuch dostaw usług ICT składa się z jednego zewnętrznego dostawcy usług ICT, zewnętrznego dostawcy usług ICT X, który zostanie sklasyfikowany jako numer 1 we wzorze. ICT
X jest bezpośrednim zewnętrznym dostawcą usług ICT.
usługodawcą.
– W odniesieniu do usługi ICT B, łańcuch dostaw usług ICT składa się z dwóch zewnętrznych dostawców usług ICT.
z dwóch zewnętrznych dostawców usług ICT:
(a) Zewnętrzny dostawca usług ICT X, który zostanie sklasyfikowany jako numer
1 w szablonie. Zewnętrzny dostawca usług ICT X jest bezpośrednim zewnętrznym dostawcą usług ICT.
zewnętrznym dostawcą usług ICT.
(b) Zewnętrzny dostawca usług ICT Y, który zostanie sklasyfikowany jako numer
2 w szablonie. Zewnętrzny dostawca usług ICT Y jest
podwykonawcą.
Wszyscy zewnętrzni dostawcy usług ICT należący do tego samego łańcucha dostaw usług ICT
łańcucha dostaw usług ICT mają ten sam „numer referencyjny
numer referencyjny porozumienia umownego”, o którym mowa we wzorze B_02.01, i ten sam
rodzaj usług ICT
B_06.01 Identyfikacja funkcji W tym szablonie identyfikuje się i podaje informacje na temat funkcji
podmiotu finansowego korzystającego z usług ICT.
W informacjach, które należy podać w tym szablonie, podmioty finansowe
uwzględniają niepowtarzalny identyfikator, „identyfikator funkcji” dla każdej kombinacji
LEI podmiotu finansowego, działalności licencjonowanej i funkcji.
Przykład: podmiot finansowy (LEI: 21USLEIC20231109J3Z8), który prowadzi
w ramach dwóch licencjonowanych rodzajów działalności („działalność A” i „działalność B”) otrzyma dwa
unikalne „identyfikatory funkcji” dla tej samej funkcji X (np. sprzedaży) wykonywanej odpowiednio
odpowiednio dla działalności A i działalności B. Identyfikator funkcji będzie następujący:
F1 dla kombinacji „21USLEIC20231109J3Z8” „Aktywność A” i
„Funkcja X”
F2 dla kombinacji „21USLEIC20231109J3Z8” „Activity B” i „Function X”.
„Funkcja X”
B_07.01 Oceny usług ICT
usługi ICT		 Ten szablon zawiera informacje dotyczące oceny ryzyka związanego z
usług ICT (np. zastępowalność, data ostatniego audytu itp.), gdy te
usługi ICT wspierają krytyczną lub ważną funkcję lub jej istotną część.
istotną jej część.
B_99.01 Definicje od podmiotów
korzystających z usług ICT
Usługi ICT		 Niniejszy szablon zawiera wewnętrzne wyjaśnienia, znaczenia i definicje
definicje zamkniętego zestawu wskaźników stosowanych przez podmiot finansowy w
w rejestrze informacji.
Przykład: W szablonie B_07.01 podmiot finansowy przedstawia
wskazanie wpływu zaprzestania świadczenia usług ICT przy użyciu
zamkniętego zestawu opcji (niski, średni, wysoki). W szablonie B_99.01 podmiot
podmiot finansowy określa znaczenie tych opcji.
Proszę się z nami skontaktować!

W jaki sposób identyfikowani i śledzeni są zewnętrzni dostawcy usług ICT i ich pozycja w łańcuchu dostaw?

Podmioty finansowe muszą przypisać „rangę” każdemu zewnętrznemu dostawcy usług ICT w łańcuchu dostaw usług ICT. Ranga „1” jest przypisywana bezpośrednim zewnętrznym dostawcom usług ICT, którzy mają bezpośrednie ustalenia umowne z podmiotem finansowym. Podwykonawcy otrzymują rangę wyższą niż „1”, przy czym niższe liczby wskazują na bliższą odległość od podmiotu finansowego w łańcuchu dostaw. W przypadku osób prawnych obowiązkowe są niepowtarzalne identyfikatory, takie jak identyfikator podmiotu prawnego (LEI) lub niepowtarzalny identyfikator europejski (EUID), podczas gdy osoby fizyczne mogą korzystać z alternatywnych kodów identyfikacyjnych. Rejestr łączy również w szczególności wewnątrzgrupowe ustalenia umowne z ustaleniami dotyczącymi zewnętrznych dostawców zewnętrznych, aby uchwycić pełny łańcuch dostaw.

Jakie są zasady jakości danych, których podmioty finansowe muszą przestrzegać przy prowadzeniu rejestru?

Aby zapewnić spójność, harmonizację i porównywalność przekazywanych informacji, podmioty finansowe muszą przestrzegać kilku zasad jakości danych. Obejmują one dokładność, kompletność, spójność, integralność, jednolitość i ważność. Informacje muszą być regularnie weryfikowane, a wszelkie błędy lub rozbieżności niezwłocznie korygowane. W przypadku grup wyraźnie wymagana jest również spójność między informacjami na poziomie jednostki, subskonsolidowanymi i skonsolidowanymi.

Jakiego rodzaju oceny ryzyka podmioty finansowe są zobowiązane przeprowadzać i raportować w odniesieniu do usług ICT?

Podmioty finansowe muszą przeprowadzać i zgłaszać oceny ryzyka związane z zewnętrznymi usługami ICT, w szczególności w przypadku usług wspierających krytyczne lub ważne funkcje. Obejmuje to ocenę charakteru, skali, złożoności i znaczenia zależności związanych z ICT oraz ryzyka wynikającego z ustaleń umownych. Konkretne informacje, które należy uchwycić, obejmują zastępowalność zewnętrznego dostawcy usług ICT, przyczyny braku zastępowalności lub wysokiej złożoności zastępowalności, datę ostatniego audytu dostawcy, istnienie planów wyjścia, możliwość ponownej integracji zakontraktowanych usług ICT oraz wpływ zaprzestania świadczenia usług ICT. Muszą również ocenić, czy zidentyfikowano alternatywnych zewnętrznych dostawców usług ICT.

W jaki sposób rozporządzenie to odnosi się do złożoności wewnątrzgrupowego świadczenia usług ICT i podwykonawstwa?

Rozporządzenie uwzględnia w szczególności wewnątrzgrupowych dostawców usług ICT i łańcuchy podwykonawców. Podmioty finansowe muszą zgłaszać informacje na temat ustaleń umownych zarówno z wewnątrzgrupowymi dostawcami usług, jak i zewnętrznymi dostawcami ICT, w tym podwykonawcami. Specjalny szablon (B_02.03) umożliwia uzgodnienie umów wewnątrzgrupowych z umowami obejmującymi zewnętrznych dostawców usług ICT, gdy są oni częścią tego samego łańcucha dostaw usług ICT. W przypadku usług ICT wspierających krytyczne lub ważne funkcje podmioty finansowe są zobowiązane do rejestrowania wszystkich podwykonawców, którzy faktycznie stanowią podstawę tych usług. Ponadto, jeśli usługodawca wewnątrzgrupowy korzysta z podwykonawców, co najmniej pierwszy podwykonawca spoza grupy musi zostać zarejestrowany, nawet jeśli jego usługi nie są uważane za krytyczne lub ważne.

Skontaktuj się z nami!

Jakie rodzaje podmiotów finansowych są objęte tym rozporządzeniem i jakie działania są istotne dla ich sprawozdawczości?

Rozporządzenie ma zastosowanie do szerokiego zakresu podmiotów finansowych, w tym między innymi do instytucji kredytowych, instytucji płatniczych, instytucji pieniądza elektronicznego, firm inwestycyjnych, dostawców usług w zakresie aktywów kryptograficznych, centralnych depozytów papierów wartościowych, kontrahentów centralnych, systemów obrotu, zakładów ubezpieczeń i reasekuracji oraz agencji ratingowych. Dla każdego rodzaju podmiotu szczegółowy wykaz licencjonowanych działań i usług znajduje się w załączniku II, który jest istotny dla identyfikacji funkcji (szablon B_06.01) w ramach ich wewnętrznej organizacji, które są wspierane przez usługi ICT.

Słowniczek kluczowych terminów

  • Rada Organów Nadzoru: Organ zarządzający każdego Europejskiego Urzędu Nadzoru (ESA), zaangażowany w zatwierdzanie kluczowych decyzji, takich jak wyznaczanie krytycznych dostawców zewnętrznych (CTPP).
  • Właściwy organ (CA): Organy krajowe odpowiedzialne za nadzór nad podmiotami finansowymi w danym państwie członkowskim. Współpracują one z ESA w zakresie nadzoru DORA.
  • Krytyczny dostawca zewnętrzny (CTPP): Zewnętrzny dostawca usług w zakresie technologii informacyjno-komunikacyjnych (ICT) uznany za krytyczny przez Europejskie Urzędy Nadzoru (ESA) ze względu na jego systemowy wpływ na sektor finansowy.
  • Ustawa o cyfrowej odporności operacyjnej (DORA): Rozporządzenie UE ustanawiające kompleksowe ramy zarządzania ryzykiem ICT w sektorze finansowym, w tym nadzór nad CTPP.
  • Europejski Urząd Nadzoru Bankowego (EUNB): Jeden z trzech Europejskich Urzędów Nadzoru (ESA) odpowiedzialnych za nadzór w ramach DORA, w szczególności w sektorze bankowym.
  • Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA): Jeden z trzech Europejskich Urzędów Nadzoru (ESA) odpowiedzialnych za nadzór w ramach DORA, w szczególności nad sektorem ubezpieczeń i pracowniczych programów emerytalnych.
  • Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA): Jeden z trzech Europejskich Urzędów Nadzoru (ESA) odpowiedzialnych za nadzór w ramach DORA, w szczególności za sektor papierów wartościowych i rynków.
  • Europejskie Urzędy Nadzoru (ESA): EBA, EIOPA i ESMA, wspólnie uprawnione do nadzorowania CTPP na skalę ogólnoeuropejską w ramach DORA.
  • Podmiot finansowy (FE): Podmiot w sektorze finansowym, który polega na zewnętrznych usługach ICT.
  • Dochodzenia ogólne: Formalne przeglądy przeprowadzane przez organy nadzorcze obejmujące jeden lub więcej obszarów ryzyka CTPP, mające na celu zebranie informacji na temat sposobu zarządzania ryzykiem przez CTPP.
  • Technologie informacyjno-komunikacyjne (ICT): Technologie i usługi związane z przetwarzaniem, przechowywaniem i komunikacją informacji.
  • Inspekcje: Wysoce inwazyjna metoda nadzoru polegająca na przeprowadzaniu na miejscu lub poza nim kontroli obiektów, systemów i danych CTPP w celu dogłębnego zrozumienia operacji biznesowych, zarządzania ryzykiem i kontroli wewnętrznych.
  • Wspólny Komitet (JC): Najwyższy rangą komitet międzysektorowy w trzech Europejskich Urzędach Nadzoru, odpowiedzialny za podejmowanie odpowiednich decyzji dotyczących nadzoru nad CTPP, w tym ich wyznaczania.
  • Wspólne zespoły egzaminacyjne (JET): Zespoły składające się z pracowników Europejskich Urzędów Nadzoru i odpowiednich właściwych organów (CA), które wspierają wiodących nadzorców (LO) w prowadzeniu działań nadzorczych DORA.
  • Wspólna sieć nadzoru (JON): Organ ustanowiony przez podmioty sprawujące nadzór w celu koordynowania prowadzenia działań nadzorczych nad CTPP oraz przygotowywania decyzji i aktów do przedłożenia Forum Nadzoru.
  • Joint Oversight Venture (JOV): Struktura operacyjna utworzona przez trzy Europejskie Urzędy Nadzoru w celu maksymalizacji synergii i zapewnienia spójności w codziennych działaniach nadzorczych DORA poprzez zintegrowane podejście międzysektorowe.
  • Wiodący nadzorca (LO): Konkretny Europejski Urząd Nadzoru (ESA) wyznaczony do prowadzenia działań nadzorczych dla wyznaczonego CTPP.
  • Bieżące regularne monitorowanie: Ciągła interakcja między organami nadzoru a CTPP, obejmująca systematyczne gromadzenie, analizę i ocenę informacji poza konkretnymi dochodzeniami lub inspekcjami.
  • Forum nadzoru (OF): Stały komitet Europejskich Urzędów Nadzoru zajmujący się nadzorem nad DORA, prowadzący prace przygotowawcze do indywidualnych aktów i zbiorowych zaleceń oraz promujący spójne podejście do ryzyka związanego z ICT osób trzecich.
  • Zalecenia: Niewiążące sugestie wydawane CTPP przez organy nadzorcze dotyczące zidentyfikowanych niedociągnięć w określonych obszarach oceny, zazwyczaj po przeprowadzeniu badań.
  • Wniosek o udzielenie informacji (RfI): Narzędzie wykorzystywane przez organy nadzoru do żądania informacji od CTPP, w drodze „zwykłego wniosku” lub „decyzji”, bez wszczynania pełnych dochodzeń lub inspekcji.
  • Plan naprawczy: Plan przedstawiony przez CTPP organom nadzorczym, określający działania i środki, które zamierza podjąć w celu usunięcia stwierdzonych nieprawidłowości i zastosowania się do wydanych zaleceń.

I am text block. Click edit button to change this text. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.