EU:s nya säkerhetsregler om digital operativ motståndskraft för finansiella bolag

Vad är DORA?

EU-förordningen om digital operativ motståndskraft för finanssektorn (DORA-förordningen) trädde i kraft den 16 januari 2023.
Syftet med DORA-förordningen är att stärka den digitala operativa motståndskraften hos finansiella företag inom EU vad gäller informations- och kommunikationsrelaterade risker (IKT-risker) – i synnerhet cyberhot.
DORA-förordningen inför bland annat harmoniserade regler om IKT-riskhantering, incidentrapportering, testning av digital operativ motståndskraft och tillsyn av tredjepartsleverantörer av IKT-tjänster.

Varför behövs DORA?

Bakgrunden till EU:s initiativ till DORA-förordningen är ett ökat behov av reglering och tillsyn av skyddsåtgärder mot cyberangrepp och andra IKT-risker inom finanssektorn. Finanssektorn är alltmer beroende av teknik för att kunna leverera finansiella tjänster. I takt med ökad digitalisering och sammanlänkning blir det finansiella systemet, men även samhället som helhet, mer sårbart för IKT-risker.

DORA-förordningen är en del av EU:s paket för digitalisering av finanssektorn.

DORA-förordningen ska tillämpas från och med den 17 januari 2025.

Vad kommer DORA innebära för företag som omfattas av förordningen?

Enligt DORA-förordningen gäller vissa krav med hänsyn till IT-risker som i princip alla företag inom den finansiella sektorn måste följa. Det gäller dels finansiella entiteter – bland annat banker, värdepappersföretag, handelsplatser, försäkringsföretag, förvaltningsbolag, utgivare av finansiella tillgångar, så som kryptovalutor, och vissa mellanhänder – dels tredjepartsleverantörer av IKT-tjänster.

Krav på finansiella företag enligt DORA

Senast den 17 januari 2025 ska företag inom den finansiella sektorn bland annat ha implementerat följande åtgärder:

• riskhanteringssystem inom informations- och kommunikationsteknologi (IKT) vilket innefattar bland annat system för att upptäcka, förebygga, övervaka, minimera och åtgärda IKT-risker,
• processer för att hantera, upptäcka, klassificera och rapportera IKT-relaterade incidenter, allvarliga betalningsrelaterade operativa incidenter och säkerhetsincidenter,
• system för att samla in information om cyberhot och cybersårbarheter samt underrätta behöriga myndigheter,
• inrätta kriskommunikationsplaner för att kunna informera kunder, motparter och allmänheten om allvarliga incidenter och sårbarheter som är IKT-relaterade,
• system för att genomföra tester av företagets digitala operativa motståndskraft såsom sårbarhetsanalyser och skanningar, analyser av öppen källkod, nätverkssäkerhetsbedömningar, prestandatester med mera,
• hanteringssystem avseende IKT-relaterade tredjepartsrisker, vilket t.ex. handlar om risker hos underleverantörer och vid outsourcing.

Kompletterande regelverk

DORA-förordningen kommer att kompletteras av regler från de tre europeiska tillsynsmyndigheterna för finanssektorn – EBA, EIOPA och ESMA – i syfte att underlätta tillämpningen av förordningen i praktiken. De kompletterande reglerna kommer bland annat innehålla specifika krav på vilka tekniska standarder som ska gälla för de hanterings- och rapporteringssystem som ska implementeras enligt förordningen.

Den 17 januari 2024 publicerade EBA, EIOPA och ESMA de första förslagen till tekniska standarder under DORA-förordningen, vilka har lämnats till EU-kommissionen för beslut om att anta dessa. Nästa förslag ska lämnas den 17 juli 2024.

DORA-förordningen kommer även att kompletteras av nationell lagstiftning, bland annat avseende Finansinspektionens tillsynsbefogenheter.

Vill du veta mer om DORA-förordningen eller få rådgivning kring de krav som måste efterlevas före den 17 januari 2025?

Välkommen att höra av dig till Robert Karlsson, Vilma Slättegård eller Julia Lundberg hos oss på Magnusson.