DORA – Digital Operational Resilience Act, EU:s nya regelverk för finanssektorn. Vad innebär den nya lagen för finanssektorn? Vilka omfattas? Och vad krävs för att efterleva lagkraven? Det reder vi ut i det här blogginlägget.
Bakgrund till nya DORA-förordningen
Cyberattacker och IT-relaterade risker blir ett allt större hot mot den finansiella sektorn, vilket har lett till att EU nu ställer högre krav för att förebygga och minska dessa cyberhot.
Europeiska kommissionen publicerade sitt förslag till en ny förordning, den så kallade DORA-förordningen, den 24 september 2020. Europaparlamentet godkände DORA i november 2022 och ministerrådet gav sitt godkännande i januari året därpå.
Vad är DORA?
DORA står för Digital Operational Resilience Act och är en förordning om digital operativ motståndskraft för den finansiella sektorn. Syftet med DORA är att säkerställa att deltagare i den finansiella sektorn gör det som krävs för att bland annat kunna upprätta verksamheten vid allvarliga driftstörningar och motverka cyberattacker samt andra IT-relaterade risker.
Förslaget består av krav på att aktörerna i den finansiella sektorn rustar sig mot informations- och kommunikationsrelaterade (IKT) störningar och hot. Detta omfattar problem och risker relaterade till informations- och kommunikationsteknik, såsom dataintrång, systemfel och cyberattacker. Därför finns bestämmelser om styrning, riskhantering, rapportering och testning.
Förordningen innebär bland annat att finansiella företag regelbundet måste utföra olika tester vad det gäller sin digitala motståndskraft. Verksamheterna ska identifiera och minska potentiella svagheter eller sårbarheter genom att utföra grundläggande tester av sina IKT-enheter och verktyg. De ska dokumentera och se över IKT-relaterade risker minst en gång per år.
Centrala områden i DORA
DORA innehåller fem centrala områden:
1. IKT-riskhantering
– IKT-riskhanteringsramverk
2. IKT-relaterad incidentrapportering
– Hantering, klassificering och rapportering
3. Testning av digital operativ motståndskraft
– Program för testning av digital motståndskraft
4. Hantering av IKT-tredjepartsrisker
– Riskhantering av tredjepartsrisk
5. Informationsutbyte
– Cyberhot
Höga krav på aktörer
Förordningen innehåller bland annat högre krav på:
- Hantering av risker relaterade till IKT (informations- och kommunikationsteknologin)
- Klassificering och rapportering av IKT-relaterade incidenter
- Testning av den digitala operativa motståndskraften
- Hantering av tredjepartsrisker
Vilka omfattas av DORA?
De som kommer omfattas av EU:s nya förordning är banker och andra kreditinstitut, försäkringsbolag, värdepappersföretag och övriga företag inom den finansiella sektorn där finansiella tjänster ingår. Utöver dessa omfattas också kritiska IKT-leverantörer inklusive molntjänstleverantörer.
De som omfattas är:
- Kreditinstitut
- Betalningsinstitut
- Leverantörer av kontoinformationstjänster
- Institut för elektroniska pengar
- Värdepappersföretag
- Leverantörer av kryptotillgångstjänster
- Värdepapperscentraler
- Centrala motparter
- Handelsplatser
- Transaktionsregister
- Förvaltare av alternativa investeringsfonder
- Förvaltningsbolag
- Leverantörer av datarapporteringstjänster
- Försäkrings- och återförsäkringsföretag.
- Försäkringsförmedlare
- Tjänstepensionsinstitut
- Kreditvärderingsinstitut
- Administratörer av kritiska referensvärden
- Leverantörer av gräsrotsfinansieringstjänster
- Värdepapperiseringsregister
- Tredjepartsleverantörer av IKT-tjänster
När träder DORA i kraft?
DORA börjar tillämpas den 17 januari 2025 vilket innebär att det är hög tid för dig som omfattas att börja se över vad ni behöver göra för att efterleva den nya förordningen.
Är din organisation redo för DORA?
Med vår hjälp genomför vi tillsammans en GAP-analys baserad på kraven i DORA. Vi tar reda på var era sårbarheter ligger och vilka åtgärder som krävs för att efterleva den nya förordningen.
