DORA
Vad är egentligen DORA-regelverket?
Precis som inom andra sektorer fortsätter digitaliseringen att öka på finansmarknaden. Som aktörer har ni en viktig roll att spela för att se till att det finansiella systemets robusthet inte påverkas negativt av utvecklingen.
Digital Operational Resilience Act, DORA, är en ny förordning inom EU som tar sikte på att stärka den finansiella sektorns motståndskraft mot digitala säkerhetshot. Förordningen innehåller krav på hantering och rapportering av risker som har med informations- och kommunikationsteknik att göra. Den riktar sig bland annat till kreditinstitut, betalningsinstitut, värdepappersföretag, försäkringsföretag, tjänstepensionsinstitut och kreditvärderingsinstitut. Förordningen kommer att börja tillämpas den 17 januari 2025.
Vi har tagit fram ett ramverk för DORA i vår digitala Compliance Manager i Trustview. Allt för att ni ska kunna möta regelverket med god beredskap när det träder i kraft.
Vill du veta hur din verksamhet kommer att påverkas av kraven i DORA? Kontakta oss eller boka en demo!
Testa om ni omfattas av DORA!
Osäker på om ni omfattas av DORA-regelverket (Digital operational resilience act)? Gör vårt snabbtest för att se om ni omfattas och i vilken omfattning här: Gör snabbtestet om ni omfattas av Digital operational resilience act (DORA)
Linnea Kjellberg
14e augusti 2023
Det här är DORA!
Denna artikel tar 3 min att läsa.
I januari 2025 börjar den nya EU-förordningen DORA tillämpas. DORA står för Digital Operational Resilience Act och syftet med förordningen är att stärka den digitala operativa motståndskraften hos aktörer på finansmarknaden. För att uppnå det införs enhetliga regler i hela EU om säkerhet i nätverks- och informationssystem.
För vem gäller kraven?
DORA kommer att gälla ”finansiella entiteter”, till exempel kreditinstitut, betalningsinstitut, värdepappersföretag, handelsplatser, förvaltningsbolag, försäkringsbolag, tjänstepensionsinstitut och kreditvärderingsinstitut. Men förordningen ska också tillämpas på leverantörer av informations- och kommunikationstjänster som de finansiella entiteterna är beroende av i sin verksamhet. Det innebär att t.ex. leverantörer av molntjänster kommer att träffas av reglerna.
Vad är IKT
DORA tar sikte på skydd av Informations- och kommunikationsteknik, IKT. IKT-tillgångar innefattar exempelvis programvara, maskinvara och servrar. De risker tillgångarna ska skyddas mot är till exempel skada och obehörig åtkomst eller användning.
kraven i dora
För finansiella entiteter omfattar förordningen regler om riskhantering, incidentrapportering, testning och informationsdelning relaterat till IKT. Det införs också särskilda regler om tredjepartsleverantörer av IKT-tjänster. Dels ska finansiella entiteter vidta säkerhetsåtgärder när sådana anlitas, dels införs särskilda regler om hur avtal om sådana tjänster ska se ut. En annan nyhet är att IKT-leverantörer som bedöms som kritiska kommer att omfattas av tillsyn på EU-nivå.
Kraven i DORA kan delas upp i fyra olika huvudområden: riskhantering, incidenthantering, testning och hantering av tredjepartsrisker.
IKT-riskhantering
Finansiella entiteter blir skyldiga att införa processer för riskhantering i förhållande till IKT-tjänster. I korthet innebär förordningen att de måste:
- Identifiera var IKT används
- Bedöma och hantera risker
- Införa mekanismer för att upptäcka angrepp
- Upprätta en plan för att åtgärda angrepp och återställa funktion.
Det ska även finnas en plan för att dra lärdom av incidenter och för kriskommunikation.
IKT-relaterade incidenter
Finansiella entiteter ska införa en process för hantering av IKT-relaterade incidenter. De ska också föra register över alla IKT-incidenter och betydande cyberhot som de utsätts för. Incidenter ska klassificeras enligt sin påverkan, varaktighet och spridning, och allvarliga incidenter ska rapporteras till tillsynsmyndigheten enligt särskilda mallar.
Testning
Den digitala operativa motståndskraften ska testas regelbundet, och åtgärdsstrategier ska tas fram så att brister kan avhjälpas. Testningen kan utföras internt, men ska vara oberoende. En gång vart tredje år ska avancerade tester genomföras som involverar ett flertal kritiska funktioner. Testningen ska vara baserad på så kallad hotbildsstyrd penetrationstestning (Threat-Led Penetration Testing, TLPT).
Hantering av IKT-tredjepartsrisker
Finansiella entiteter ska ta höjd för de risker som uppstår när de anlitar externa leverantörer av IKT-tjänster. Finansiella entiteter har alltid fullt ansvar för sin verksamhet och kan inte komma undan genom att skylla brister på en leverantör. Därför får bara leverantörer som uppfyller lämpliga standarder för informationssäkerhet anlitas. Inför avtal med en IKT-leverantör ska den finansiella entiteten ta hänsyn till ett antal faktorer, som ifall avtalet leder till koncentrationsrisk. Ifall en leverantör skulle brista är det viktigt att inte ha alla ägg i samma korg.
Kritiska IKT-leverantörer
IKT-leverantörer som har en tillräckligt viktig roll kommer att klassificeras som kritiska av myndigheter på EU-nivå. Klassificeringen utgår från vilken påverkan ett omfattande driftsavbrott hos leverantören skulle ha och hur viktig leverantören är för finanssystemet i stort. De leverantörer som bedöms som kritiska kommer att finnas i en gemensam förteckning på unionsnivå, och kommer att bli föremål för särskild tillsyn.
Ladda ner vårt exempel på behandlingsregister som uppfyller de nya kraven.
Nu kan du helt kostnadsfritt ta del av vår expertmall
för behandlingsregistret för att uppfylla art 30 i GDPR.
