DORA-förordningen - hur kommer den att påverka er?

Lena Graungaard Lindahl 27 september, 2022

Uppdateringar:

  • Den 27 december 2022 publicerades den slutliga texten i EU:s officiella tidning som ”Regulation (EU) 2022/2554”. Förordningen börjar gälla den 25 januari 2025.
  • Den 28 november antogs DORA-förordningen formellt av Europeiska rådet, vilket är det sista steget i lagstiftningsprocessen. Nu ska varje medlemsland implementera DORA-förordningen i deras lands lagstiftning.

Introduktion

Vad är DORA och varför är det viktigt?

Digitaliseringen av finansiella tjänster har öppnat för ökade cybersäkerhetsrisker. Finansbranschen är enligt många undersökningar en av de mest utsatta branscherna och har därmed ett ökat behov av att förbättra sitt skydd. Europeiska unionen har därför utformat en förordning som heter Digital Operational Resilience Act, eller förkortat DORA, som syftar till att harmonisera och vässa den digitala operativa motståndskraften i den finansiella sektorn och kritiska IKT (informations- och kommunikationsrelaterade) sektorer inom unionen.

DORA krav
Krav på ramverk för riskhantering, incidenthanteringsplan, rapportering vid incidenter osv.
Gäller finansiella sektorn (revision, bank, försäkring med mera)

Förordningen

Vad är DORA-förordningen?

Det finansiella systemet består av banker och andra liknande branscher, till exempel bostadslåneinstitut och försäkringsbolag, samt finansiella marknader som aktiemarknader och obligationsmarknader. Syftet med DORA är att skapa stabilitet och förtroende för aktörer inom det finansiella systemet. DORA-förordningen innebär att berörda branscher måste implementera policyer, verktyg och ramverk för riskhantering, rapportering och testning i syfte att minimera risken och eventuella följder vid IKT-relaterade incidenter såsom t.ex. försök till intrång, belastningsattacker och svagheter i systemet.
Eftersom DORA är en förordning behövs inga lagstiftningsåtgärder utan den kommer i likhet med GDPR-förordningen gälla automatiskt i Sverige. Denna lag ersätter inte befintlig lagstiftning utan är snarare ett komplement till den.

Förslaget till DORA-förordningen innehåller 73 punkter och är indelad i 9 kapitel bestående av 56 artiklar. Nedan följer några av förordningens huvudkrav:

Bestämmelser om IKT-riskhantering

Branscher inom det finansiella systemet måste upprätta, implementera och underhålla ett ramverk för att bedöma och hantera risker snabbt genom att effektivt upptäcka avvikelser i IKT-system.

Företagen i branschen måste alltså säkerställa att man har stabila system och rutiner för att upptäcka och åtgärda eventuella försök till intrång eller andra försök till påverkan innan för stor skada sker. Man måste dessutom ha rutiner för att åtgärda och minimera skadliga effekter av framtida försök till påverkan/intrång eller andra störningar.

Rapportering och hantering av IKT-relaterade incidenter

Branscher inom det finansiella systemet måste ha en incidenthanteringsplan relaterad till informationssäkerhet. Det är viktigt att följa kraven för korrekt rapportering av incidenter så att behöriga myndigheter är informerade och kunderna är medvetna om potentiell påverkan av deras intressen.

Företagen ska alltså ha en planering för hur man hanterar incidenter inom området. Dessa ska dessutom rapporteras till relevanta tillsynsmyndigheter för att dessa ska kunna vidta relevanta åtgärder i förhållande till resten av branschen.

Testning av IKT-säkerhet

Branscher inom det finansiella systemet ska utföra regelbundna tester (exempelvis penetrationstest) på relevanta delar av sin IKT-infrastruktur för att säkerställa korrekt digital operativ motståndskraft baserat på sina affärsresurser, profil och behov.

I syfte att undvika skadliga attacker ska företagen inom branschen ta initiativ till att simulerade attacker genomförs för att upptäcka och åtgärda brister. Det ska genomföras genom att anlita externa experter som anordnar detta på mera eller mindre regelbunden basis.

Hantering av IKT-tredjepartsrisk

Eftersom användning av tjänster som tillhandahålls av IKT-tredjepartsleverantörer (exempelvis dataanalystjänster) utgör en risk i sig själv ställs även krav mot dessa. Det innebära att tredjepartsleverantörer också kontrolleras genom tillsyn.

Det ställs även krav på avtalen med IKT-tredjepartsleverantörer och utvärdering av risker som kan uppkomma vid ut kontraktering.

Informationsutbyte

För att minska cybersäkerhetsrisker på unionsnivå bör finansiella enheter utbyta information om IKT-relaterade risker, hot och incidenter för att gemensamt förstärka försvarsförmågan.

När träder DORA i kraft?

DORA-förordningen kommer att träda i kraft januari 2025, vilket innebär att alla medlemsstater i EU måste ha införlivat kraven i DORA-direktivet i sin nationella lagstiftning till det datumet. Dessa krav kommer att beröra områden som cybersäkerhet, styrning och riskhantering, incidentrapportering, testning och kontinuitetsplanering, bland annat. Syftet med dessa krav är att säkerställa att finansiella institutioner är tillräckligt rustade för att hantera potentiella cyberhot och andra IT-relaterade risker.

Omfattas min organisation av förordningen?

Svaret är troligen JA om din organisation är verksam inom den finansiella sektorn och inom Europeiska unionen.

DORA kommer till exempel att gälla för organisationer som tillhandahåller:

  • Revisionstjänster
  • Försäkringstjänster
  • Bank- och finanstjänster
  • Leverantör av kryptotjänster
  • Värdepapperstjänster
  • Tredjepartsleverantörer för IKT-tjänster

Hur omfattande ert arbete kommer att bli anpassas genom proportionalitetsprincipen. Det innebär att kraven för att uppnå DORA-förordningen måste vara rimliga med hänsyn till er storlek, risknivå, typ och komplexitet.

Finansinspektionen, Revisorinspektionen eller Riksbanken kommer troligen att utföra tillsyn beroende på vilken sektor din organisation tillhör. EU-myndigheter kommer att granska stora internationella leverantörer av IKT-tjänster.

Parallellt med förhandlingar om DORA-förordningen pågår även förhandlingar om NIS2-direktivet. DORA-förordningen föreslås dock tillämpas före NIS-direktivet om ett och samma företag skulle omfattas av båda.

Påföljder

Hur höga är sanktionsavgifterna?

Sanktionsavgifter kommer att grunda sig i hur allvarlig avvikelsen är. Avgifterna ska vara ”effektiva, proportionella och avskräckande”. Vad gäller IT-tredjepartsleverantörer kommer en sanktionsavgift att utfärdas på en daglig basis tills aktören åtgärdat problemet. I vissa fall kan sanktionen vara upp till 1% av verksamhetens globala omsättning.

Vad är tidsspannet?

2025 kan kännas avlägset men de branscher som omfattas av lagstiftningen bör
redan nu se till att:

  1. Skaffa kunskap om innehållet i förordningen, och
  2. Identifiera nödvändiga åtgärder för er

Har ni frågor och funderingar kring DORA?
Tveka inte att kontakta oss från Secify!

Lena Graungaard Lindahl
Senaste inläggen av Lena Graungaard Lindahl