DORA-förordningen - hur kommer den att påverka er?

Lena Graungaard Lindahl 27 september, 2022

Uppdateringar:

Den 27 december 2022 publicerades den slutliga texten i EU:s officiella tidning som ”Regulation (EU) 2022/2554”. Förordningen börjar gälla den 25 januari 2025.
Den 28 november antogs DORA-förordningen formellt av Europeiska rådet, vilket är det sista steget i lagstiftningsprocessen. Nu ska varje medlemsland implementera DORA-förordningen i deras lands lagstiftning.

Introduktion

Vad är DORA och varför är det viktigt?

Digitaliseringen av finansiella tjänster har öppnat för ökade cybersäkerhetsrisker. Finansbranschen är enligt många undersökningar en av de mest utsatta branscherna och har därmed ett ökat behov av att förbättra sitt skydd. Europeiska unionen har därför utformat en förordning som heter Digital Operational Resilience Act, eller förkortat DORA, som syftar till att harmonisera och vässa den digitala operativa motståndskraften i den finansiella sektorn och kritiska IKT (informations- och kommunikationsrelaterade) sektorer inom unionen.

DORA krav
Krav på ramverk för riskhantering, incidenthanteringsplan, rapportering vid incidenter osv.
Gäller finansiella sektorn (revision, bank, försäkring med mera)

Förordningen

Vad innebär DORA-förordningen?

Det finansiella systemet består av banker och andra liknande branscher, till exempel bostadslåneinstitut och försäkringsbolag, samt finansiella marknader som aktiemarknader och obligationsmarknader. Syftet med DORA är att skapa stabilitet och förtroende för aktörer inom det finansiella systemet. DORA-förordningen innebär att berörda branscher måste implementera policyer, verktyg och ramverk för riskhantering, rapportering och testning i syfte att minimera risken och eventuella följder vid IKT-relaterade incidenter såsom t.ex. försök till intrång, belastningsattacker och svagheter i systemet.
Eftersom DORA är en förordning behövs inga lagstiftningsåtgärder utan den kommer i likhet med GDPR-förordningen gälla automatiskt i Sverige. Denna lag ersätter inte befintlig lagstiftning utan är snarare ett komplement till den.

Förslaget till DORA-förordningen innehåller 73 punkter och är indelad i 9 kapitel bestående av 56 artiklar. Nedan följer några av förordningens huvudkrav:

Bestämmelser om IKT-riskhantering

Branscher inom det finansiella systemet måste upprätta, implementera och underhålla ett ramverk för att bedöma och hantera risker snabbt genom att effektivt upptäcka avvikelser i IKT-system.

Läs mer

Företagen i branschen måste alltså säkerställa att man har stabila system och rutiner för att upptäcka och åtgärda eventuella försök till intrång eller andra försök till påverkan innan för stor skada sker. Man måste dessutom ha rutiner för att åtgärda och minimera skadliga effekter av framtida försök till påverkan/intrång eller andra störningar.

Rapportering och hantering av IKT-relaterade incidenter

Branscher inom det finansiella systemet måste ha en incidenthanteringsplan relaterad till informationssäkerhet. Det är viktigt att följa kraven för korrekt rapportering av incidenter så att behöriga myndigheter är informerade och kunderna är medvetna om potentiell påverkan av deras intressen.

Läs mer

Företagen ska alltså ha en planering för hur man hanterar incidenter inom området. Dessa ska dessutom rapporteras till relevanta tillsynsmyndigheter för att dessa ska kunna vidta relevanta åtgärder i förhållande till resten av branschen.

Testning av IKT-säkerhet

Branscher inom det finansiella systemet ska utföra regelbundna tester (exempelvis penetrationstest) på relevanta delar av sin IKT-infrastruktur för att säkerställa korrekt digital operativ motståndskraft baserat på sina affärsresurser, profil och behov.

Läs mer

I syfte att undvika skadliga attacker ska företagen inom branschen ta initiativ till att simulerade attacker genomförs för att upptäcka och åtgärda brister. Det ska genomföras genom att anlita externa experter som anordnar detta på mera eller mindre regelbunden basis.

Hantering av IKT-tredjepartsrisk

Eftersom användning av tjänster som tillhandahålls av IKT-tredjepartsleverantörer (exempelvis dataanalystjänster) utgör en risk i sig själv ställs även krav mot dessa. Det innebära att tredjepartsleverantörer också kontrolleras genom tillsyn.

Läs mer

Det ställs även krav på avtalen med IKT-tredjepartsleverantörer och utvärdering av risker som kan uppkomma vid ut kontraktering.

Informationsutbyte

För att minska cybersäkerhetsrisker på unionsnivå bör finansiella enheter utbyta information om IKT-relaterade risker, hot och incidenter för att gemensamt förstärka försvarsförmågan.

Omfattas min organisation av förordningen?

Svaret är troligen JA om din organisation är verksam inom den finansiella sektorn och inom Europeiska unionen.

DORA kommer till exempel att gälla för organisationer som tillhandahåller:

Revisionstjänster
Försäkringstjänster
Bank- och finanstjänster
Leverantör av kryptotjänster
Värdepapperstjänster
Tredjepartsleverantörer för IKT-tjänster

Hur omfattande ert arbete kommer att bli anpassas genom proportionalitetsprincipen. Det innebär att kraven för att uppnå DORA-förordningen måste vara rimliga med hänsyn till er storlek, risknivå, typ och komplexitet.

Finansinspektionen, Revisorinspektionen eller Riksbanken kommer troligen att utföra tillsyn beroende på vilken sektor din organisation tillhör. EU-myndigheter kommer att granska stora internationella leverantörer av IKT-tjänster.

Parallellt med förhandlingar om DORA-förordningen pågår även förhandlingar om NIS2-direktivet. DORA-förordningen föreslås dock tillämpas före NIS-direktivet om ett och samma företag skulle omfattas av båda.

Påföljder

Hur höga är sanktionsavgifterna?

Sanktionsavgifter kommer att grunda sig i hur allvarlig avvikelsen är. Avgifterna ska vara ”effektiva, proportionella och avskräckande”. Vad gäller IT-tredjepartsleverantörer kommer en sanktionsavgift att utfärdas på en daglig basis tills aktören åtgärdat problemet. I vissa fall kan sanktionen vara upp till 1% av verksamhetens globala omsättning.

Vad är tidspannet?

Förmodligen kommer DORA-förordningen att träda i kraft under andra halvan av 2022 eller i början på 2023. Därefter har medlemsstaterna troligen, liksom när GDPR-förordningen trädde i kraft, 24 månader på sig att börja tillämpa den nya lagstiftningen.

Det kan kännas som avlägset men de branscher som omfattas av lagstiftningen bör redan nu göra sig redo. Ett bra första steg är att:

Skaffa kunskap om innehållet i förordningen, och
Identifiera nödvändiga åtgärder för er

Har ni frågor och funderingar kring DORA?
Tveka inte att kontakta oss från Secify!

Om
Senaste inläggen

Lena Graungaard Lindahl

Managementkonsult - Informationssäkerhet och privacy hos Secify

Lena har en masterexamen i data- och systemvenskap med inriktning informationssäkerhet och har tidigare arbetat på olika myndigheter i Sverige. Hos oss jobbar Lena inom områdena privacy och informationssäkerhet.

Senaste inläggen av Lena Graungaard Lindahl

Har ditt företag en Business Continuity- och Disaster Recovery Plan? - 1 mars, 2023
DORA-förordningen – hur kommer den att påverka er? - 27 september, 2022
NIS2-direktivet – vad innebär det? - 25 september, 2022

Cookie	Varaktighet	Beskrivning
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.

Cookie	Varaktighet	Beskrivning
_zcsr_tmp	session	Zoho sets this cookie for the login function on the website.
1e5a17c8ab	session	This cookie is set in relation to Zoho Campaigns
AnalyticsSyncHistory	1 month	No description
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Used to store consent of guests regarding the use of cookies for non-essential purposes
ppwp_wp_session	30 minutes	ppwp_wp_session is a cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing the user's session on the website. The cookie is a session cookie and is deleted when all browser windows are closed.

Cookie	Varaktighet	Beskrivning
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_X8W3VDVR14	2 years	This cookie is installed by Google Analytics.
_gat_UA-112487526-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
utm_source	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.

Cookie	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
d18efd344f	session	Collects information on user preferences and international with erb content. Used to promote relevant events or products. Session.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.
utm_medium	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.
ZCAMPAIGN_CSRF_TOKEN	session	No description available.
ZMEET_CSRF_TOKEN	session	No description available.