Hur kan finansinstitut framtidssäkra sig gällande förändringar i regelverket, såsom DORA och NIS2?
Att följa nationella eller EU-omfattande regleringar är inget nytt i finansbranschen. Som exempel påverkar reglering runt kundkännedom, dataskydd och integritet samt betaltjänster direkt hur banker, försäkringsbolag, kreditgivare och andra aktörer bedriver sin dagliga verksamhet och processer.
I en digital värld förlitar sig alla dessa processer på mjukvarulösningar som bearbetar miljontals datapunkter dagligen.
Dock förändras regleringar som påverkar finansiella tjänster ständigt, vilket också kräver förändringar i den mjukvaruinfra som hanterar de relaterade processerna. Vad kan finansinstitut göra för att bibehålla flexibilitet och effektivitet i alla dessa förändringar?
DORA och NIS2 – de senaste tunga aktörerna för finanssektorn
Som du förmodligen redan vet finns det – ännu en gång – nya regler som företag inom finanssektorn måste följa.
NIS2-direktivet bygger på det ursprungliga NIS-direktivet från 2016 och syftar att stärka cybersäkerheten och motståndskraften för kritiska sektorer i hela EU. Direktivet utökar omfattningen, ställer strängare krav och standardiserar praxis för cybersäkerhet.
DORA, Digital Operational Resilience Act, är en EU-omfattande reglering som specifikt påverkar finansinstitut inom EU.
Både NIS2 och DORA inför nya krav på insamling och hantering av data relaterad till riskhantering. Inte bara för de finansiella aktörerna själva utan även längre ner i leverantörskedjan för tredje parts ICT-leverantörer. Faktum är att hantering av tredje parts ICT-risker är avgörande för alla företag, eftersom alla företag använder SaaS-tjänster i allt högre grad. Föreställ dig att en dag är alla dina ICT-tjänster SaaS-tjänster – hur skulle företagets CTO hantera risker i ett sådant scenario?
Nu måste all den information som krävs av NIS2 och DORA – för att inte nämna andra nya regleringar runt hörnet – hanteras. Det handlar inte bara om att samla in och arkivera data; data måste vara lättillgänglig genom hela dess livscykel för att kunna etablera robusta riskhanteringsprocesser.
Här dyker problemen med traditionella informationshanteringssystem upp. Legacy-system är långsamma att anpassa till förändringar, och att lägga till några anpassade datahanteringsfunktioner innebär förmodligen att påbörja ett omfattande IT-utvecklingsprojekt.
Lyckligtvis finns det mer flexibla alternativ tillgängliga.
Exempel: Effektiv hantering av leverantörsdata med hjälp av flexibel metadata
Ett viktigt område där NIS2 och DORA ställer nya krav är tredje parts riskhantering. Finansiella aktörer måste säkerställa att alla deras leverantörer följer lämpliga säkerhetsstandarder. Detta gäller ett brett spektrum av leverantörer, ända till molntjänstleverantörer, mjukvaruleverantörer och så vidare.
Dessutom måste leverantörsinformationen hanteras under hela dess livscykel: från de initiala serviceavtalen till årligen återkommande revisioner och slutligen ner till leverantörens exitplan.
Således blir insamling och hantering av data en regelbunden del av de dagliga processerna.
En nyckelkomponent för att hantera all denna information är metadata. Låt oss säga att du har hundratals avtal mellan olika leverantörer. Det enda effektiva sättet att hantera all data är genom att upprätthålla specifik metadata i avtalskategorier, outsourcing, dataskydd, IT-systeminformation, ansvar, revisioner och riskkategorier.
Med rätt metadata på plats kan du enkelt hitta specifika avtal, generera rapporter och förbereda dig för leverantörsrevisioner, till exempel. Effektiv metadatahantering med underliggande dokumenthanteringsmöjligheter lyfter din insyn i alla frågor till följande nivå.
För att göra leverantörsdatahanteringen enkel och effektiv, se till att ditt informationshanteringssystem har möjligheten att flexibelt lägga till anpassade metadatafält.
Hur Zefort hjälper till med DORA och NIS2
Zefort är ett lätthanterligt system för avtals och datahantering som erbjuder säkerhet på banknivå och har ett brett funktionsutbud.
Genom att arbeta tillsammans med våra kunder, inklusive ledande banker, har vi utvecklat en uppsättning funktioner som gör det mycket enklare att hantera kraven ställda av DORA och NIS2.
#1 Dynamisk och flexibel metadatamodell
När ett nytt dokument laddas upp i Zefort snappar vår AI automatiskt upp typisk metadata, såsom dokumenttitlar, avtalsparter och viktiga datum.
Utöver den vanliga metadatan kan du definiera vilka andra (obligatoriskt, valfritt eller med villkor) metadatafält du vill. Om det finns obligatorisk metadata definierad för en specifik avtalskategori, som ett leverantörsavtal, uppmanar Zefort dig att lägga till den nödvändiga informationen. Med metadatan på plats är det enkelt att hitta rätt dokument senare.
Det bästa är att Zefort erbjuder stor flexibilitet när det gäller att hantera metadata. Användare med lämplig behörighet kan när som helst lägga till, ändra eller ta bort metadatafält, skapa fält med villkor och datavalideringsregler – utan behov att inleda ett stort IT-projekt.
Vi har omfattande erfarenhet av att planera metadata tillsammans med våra kunder – vi ger gärna praktisk konsultation i denna fråga!
#2 Avtalsaktiviteter
Under NIS2 och DORA krävs det i vissa fall att företag genomför regelbundna revisioner för sina leverantörer. Med ett stort antal leverantörsföretag blir det allt svårare att komma ihåg alla revisionsdatum och krav.
Zefort hjälper din organisations team att förbereda sig för revisioner genom att leverera automatiska meddelanden för viktiga datum eller andra aktiviteter. Dessutom kan du ställa in återkommande revisionsscheman som ett eget specifikt metadatafält.
Förutom notifikationer är alla aktiviteter lättillgängliga i Zeforts Dashboard- eller Kalender-vy.
#3 Onlineformulär för leverantörsrevisioner
Även relaterat till leverantörsrevisioner, erbjuder Zefort en funktion för att enkelt skapa onlineformulär som dina leverantörer kan fylla i och skicka in. Detta fungerar perfekt för att skapa leverantörsrevisionsformulär relaterade till NIS2 eller DORA.
För att verifiera informationen som lämnats in av din leverantör använder Forms-funktionen Zefort Sign, ett e-signerings verktyg som låter dig få en personlig signering av leverantören. Du kan till och med skapa mer komplexa flöden för att få signaturer från flera parter eller meddela specifika teammedlemmar om signeringsprocessen.
#4 Rapportering av leverantörsinformation
Zefort är flexibel när det gäller att flytta data mellan system. Om du använder en viss lösning för analys av affärsdata, som t.ex Microsoft Power BI, kan du enkelt överföra data från Zefort till det verktyget.
Du kan även skapa rapporter direkt i Zefort. Filtrera helt enkelt dokument baserat på deras metadata, välj de dokument du vill inkludera och exportera datan till ett Excel-ark.