Register of Information – fra compliance til strategisk indsigt

For risikoansvarlige er værdien af et Register of Information langt mere end blot opfyldelse af lovgivningskrav og DORA. Registeret kan udvikle sig til en strategisk ressource, der styrker organisationens modstandsdygtighed og effektivitet
January 2025

Register of Information som beslutningsværktøj

Med introduktionen af DORA (Digital Operational Resilience Act) 17. januar 2025, skal en række danske organisationer dokumentere, hvordan deres forretningsprocesser understøttes IT-mæssigt og hvilke leverandører der leverer de forskellige IT-services.

Et centralt element heri er etableringen af et Register of Information, som er tænkt som en afrapportering til Finanstilsynet og Den Europæiske Banktilsynsmyndighed.
Men for risikoansvarlige er værdien af et Register of Information langt mere end blot opfyldelse af lovgivningskrav. Registeret kan udvikle sig til en strategisk ressource, der styrker organisationens modstandsdygtighed og effektivitet:

 

  1. Kortlægning af kritiske afhængigheder i realtid
    Med et dynamisk opdateret register kan I identificere de mest kritiske afhængigheder i organisationens økosystem – fx mellem IT-systemer, processer og leverandører. Dette giver jer overblik til at håndtere risici, før de bliver akutte.
  2. Understøttelse af effektivt tilsyn
    En oversigt over kritiske leverandører og deres underleverandører er en forudsætning for et effektivt tilsyn. Med Register of Information bliver dette overblik endnu mere velstruktureret og forenkler audits.
  3. Simulering af scenarier
    Data i registeret kan bruges til at simulere worst-case-scenarier og evaluere, hvordan organisationen dels vil blive påvirket og dels vil kunne reagere på hændelser som systemnedbrud, cyberangreb eller leverandørsvigt. En indsigt, der hjælper med at prioritere beredskabet, tilsynet samt investeringer i modforanstaltninger.
  4. Automatisering af rapportering
    Et veldrevet register kan integreres med risikostyringssystemer for at automatisere rapporter og visualisere risici i realtid. Det reducerer den manuelle arbejdsbyrde og giver dig, som risikoansvarlig, tid til at fokusere på strategiske prioriteter.

 

Hvorfor er et Register of Information vigtigt?

Behovet for et Register of Information rækker ud over blot at opfylde lovkrav. Det tilfører organisationen værdi på flere niveauer:

  • Forbedrer overblikket: Et struktureret register giver et klart billede af organisationens vigtigste processer, IT-services og leverandører. Dette overblik er grundstenen i en række andre aktiviteter som ligger udover Register of Information.
  • Øger effektiviteten: Centraliseret dokumentation af kritiske afhængigheder og data reducerer behovet for manuelt vedligeholdte lister – hvilket frigør ressourcer.
  • Styrker risikostyringen: Et opdateret register gør det muligt at identificere kritiske leverandører og giver mulighed for proaktiv håndtering af sikkerheden.
  • Sikrer compliance: Et Register of Information er en direkte forudsætning for at overholde kravene i DORA.

 

Registret skal som en del af DORA skabe et centraliseret overblik hos Finanstilsynet og Den Europæiske Banktilsynsmyndighed over, hvilke leverandører, der er kritiske i forhold til leverancer til sektorer, som reguleres af DORA.

Hvis et godt Register of Information bliver skabt, vil det dog også med fordel kunne bruges internt i organisationen som et vigtigt værktøj til at opretholde compliance og styrke organisationens risikostyring.

 

Hvad er Register of Information?

Et Register of Information er en samlet, struktureret oversigt over organisationens forretningsprocesser og kundeleverancer med beskrivelse af, hvordan disse er understøttet IT-mæssigt og af hvilke leverandører.

Registeret giver blandt andet et struktureret overblik over:

  • Organisationens forretningsprocesser og kundeleverancer, med oplysninger om type af leverance og deres kritikalitet.
  • IT-services der understøtter leverancerne: Hvad er kritikaliteten af servicen og data der, hvor er de gemt, hvilke kontrakter er tilknyttet servicen, hvad er værdien af kontrakten samt hvilke former for tilsyn er gennemført.
  • Leverandører: Hvilke leverandører og underleverandører anvendes til at levere hvilke IT-services, fra hvilke lande, hvor kritisk er leverandøren, ud fra hvilke kontrakter, er der en exit-plan for leverandøren (eller pr. service som leverandøren leverer).

 

En central samling af disse informationer i EBA, gør det mere muligt at skabe overblik over sektoren og dens afhængighed af leverandører fx segmenteret på brancher og lande. Dermed bliver det muligt at udpege kritiske leverandører og således påbegynde arbejdet med at gøre sektoren mere ressilient.

Ved at samle disse oplysninger i et register, bliver det nemmere for den enkelte organisation at bruge det som udgangspunkt, for at sikre compliance, styrke modstandsdygtighed og effektivt reagere på krav fra myndigheder eller trusler.

 

Hvordan kommer organisationen i gang?

For at etablere et effektivt Register of Information bør I følge disse trin:

  1. Identificer kritiske oplysninger og aktiver: Kortlæg processer, systemer og afhængigheder, der er afgørende for driften.
  2. Dokumentér sammenhænge: Registrér relationer mellem processer og tjenester, og hvem der er ansvarlig for hvert område.
  3. Automatisér vedligeholdelsen: Brug digitale løsninger til vedligeholdelse for at reducere den manuelle arbejdsbyrde.
  4. Integrér med risikostyring: Sørg for, at registeret spiller sammen med organisationens risikostyrings- og tilsynsproces for at give et helhedsorienteret overblik.

 

Siscon kan hjælpe jer i mål

Hos Siscon har vi mange års erfaring med at hjælpe organisationer med at etablere og optimere deres arbejde med risikostyring og compliance. ControlManager™ vil være omdrejningspunktet for dataopsamling og generering af Register of Information til EBA. Således hjælper ControlManager™ med at sikre, at Register of Information ikke blot bliver ”endnu et regneark” – men rent faktisk bliver noget, som kan være med til at skabe værdi og højne informationssikkerhedsniveauet generelt.

Kontakt os for at høre mere om, hvordan vi kan hjælpe jer med at opfylde kravene i DORA og skabe værdi for jeres organisation.

Læs også

Emnespecifikke politikker og ISO 27001/2

Risikostyring – en nøgle til sikkerhed og compliance

Kontakt

Kontakt os endelig. Vi bider ikke.

Hvad enten det er om stort eller småt, så er vi klar til at hjælpe. Vi glæder os til at høre fra dig.

Book en demo af ControlManager™ 

Er du interesseret i at lære mere om hvordan ControlManager™ kan hjælpe jer? Book en personlig demo, og lad os vise dig, hvordan vores løsninger kan imødekomme jeres behov og hjælpe din virksomhed med at nå sine mål.