DORA: Rapportering av register over IKT-tjenesteavtaler (RoI)
Sist publisert: 9. oktober 2025
Finansielle enheter som er omfattet av DORA skal ha et register over alle IKT-tjenesteavtaler (RoI/informasjonsregisteret), se DORA art. 28 nr. 3. Alle foretakets IKT-tjenesteavtaler skal framgå av registeret og det skal blant annet framgå hvilke avtaler som er kritiske eller viktige. I tillegg til et register på foretaksnivå, skal det foreligge et register på subkonsolidert og konsolidert nivå i konsern. Kravene til registeret er utdypet i Kommisjonenes gjennomføringsforordning (EU) 2024/2956. Finanstilsynet kan kreve fullt eller delvis innsyn i registeret til enhver tid.
Rapportering av registeret
De europeiske finanstilsynsmyndighetene (ESA-ene) har publisert en beslutning (beslutning ESA 2024 22) som pålegger tilsynsmyndighetene å rapportere registeret videre til dem. Beslutningen angir når tilsynsmyndighetene skal rapportere inn registrene til ESA-ene og hvilken informasjon som skal følge med. Hensikten med rapporteringen er at ESA-ene skal bruke informasjonen til å vurdere hvilke leverandører som skal vurderes som kritiske i finanssektoren, og pekes ut som gjenstand for overvåking, se DORA kapittel V, del II.
Hvem skal rapportere?
Foretak som er omfattet av DORA art. 2 nr. 1 bokstav a til t er rapporteringspliktige.
Nærmere informasjon om hvem som skal rapportere framgår av ESA 2024 22 artikkel 3.
Følgende gjelder:
- Foretak som ikke er del av et konsern skal rapportere på individuelt nivå.
- Foretak som er del av et konsern, men det øverste morforetaket er utenfor EØS og det ikke foreligger et morforetak i EØS skal rapportere på individuelt nivå.
- Foretak i konsern skal rapportere på det øverste konsoliderte nivå i EØS.
- Foretak som har mor uten konsesjon skal rapporteres på individuelt nivå.
Merk at begrepet "group" er i DORA definert som et morforetak og alle dets datterforetak, se DORA art. 3 nr. 26 med videre henvisning til regnskapsdirektivets definisjon. "Group" tilsvarer konsern på norsk. Foretak som er del av en samarbeidene gruppe eller allianse må derfor rapportere registeret til Finanstilsynet hver for seg.
Hva skal rapporteres?
Foretakene skal rapportere informasjonen som framgår av gjennomføringsforordning (EU) 2024/2956 vedlegg I.
Et register på sub-konsolidert og konsolidert nivå skal inkludere alle finansielle enheter og konserninterne leverandører, som er del av konsernet eller undergruppe av konsernet, se (EU) 2024/2956 art. 6 nr. 2.
Hvordan skal det rapporteres? (Mal, format og verktøy)
Malen for informasjonsregisteret finne så EBAs nettsted.
Informasjonsregisteret skal rapporteres via en løsning i portalen e-Regulatory (e-Reg). Foretakene vil få tilgang til portalen via Altinn.
Formatet for rapporteringen er XBRL-CSV. For å konvertere registeret til riktig format vil man ha behov for et konverteringsverktøy. Som alternativ tilbyr e-Reg webforms, der man kan føre inn registeret manuelt. Finanstilsynet tar sikte på å tilby dette alternativet.
Når skal det rapporteres?
Foretakenes rapportering til Finanstilsynet
Foretakene skal rapportere inn registeret hvert år innen en fastsatt frist. Fristen for neste rapportering er ikke endelig fastsatt, men vil bli i løpet av første kvartal 2026 og vil kommuniseres i god tid.
Rapportering fra tilsynsmyndigheten til EU
De europeiske tilsynsmyndighetene (ESA-ene) har publisert en beslutning som angir når de nasjonale tilsynsmyndighetene skal rapportere inn registrene til ESA-ene og hvilken informasjon som skal følge med. Fristene gjelder på årlig basis.
|
Hva |
Når |
|---|---|
|
Informasjonsregisteret |
31. mars |
|
En liste over foretak tilsynsmyndigheten har vurdert som systemkritiske, utenom kredittinstitusjoner. |
31. januar
|
|
Periode det skal rapporteres for |
1. januar-31. desember |
Testing av rapporteringsløsning
Finanstilsynet har som mål at foretakene skal få mulighet til å teste innsending av informasjonsregisteret i e-Reg i perioden 1. januar til 31. januar 2026. Endelige datoer vil kommuniseres så fort de er fastsatt.
Identifikasjon av leverandører
Ifølge (EU) 2024/2956 skal leverandører identifiseres ved bruk av bruk av LEI-nummer eller EUID, se art. 3 nr. 5. Har leverandøren både LEI-nummer og EUID skal begge føres i registeret. Dersom leverandørens tjeneste er kritisk eller viktig, skal underleverandører som støtter kritiske eller viktige funksjoner identifiseres med LEI-nummer eller EUID. Har underleverandøren begge, skal begge oppgis.
EUID = ISO Landkode + det nasjonale registeret* + organisasjonsnummer
*De fleste land har ikke en kode for det nasjonale registeret (inkludert Norge). Tyskland, Estland og Frankrike er eksempler på land som har en slik kode.
LEI-nummer = En global identifikasjonskode, som kan kjøpes.