DORA – ny EU-förordning för finanssektorn

DORA står för Digital Operational Resilience Act (digital operativ motståndskraft). Det är en ny EU-förordning som började gälla från januari 2023. Kraven från DORA måste börja efterlevas från januari 2025, vilket innebär att berörda finansiella företag och institut har en tid på sig att anpassa sig till den nya förordningen.

DORA kan beskrivas som ett gemensamt EU-regelverk för effektiv och övergripande hantering av digitala risker i finansbranschen. Liknande direktiv som tidigare kommit från EU är NIS och NIS2, som syftar till att hålla en hög gemensam nivå på nätverk och informationssystem inom samhällsviktiga tjänster inom hela EU.

Ökad digitalisering

Bakgrunden till den nya förordningen är den ökade digitaliseringen och sammankopplingen mellan olika system, där finansiella aktörer blir alltmer beroende av informations- och kommunikationsteknik, IKT på svenska. På engelska ICT, Information and Communications Technology, vilket är det korrekta uttrycket i internationella sammanhang.

ICT-utvecklingen i den finansiella sektorn har gått snabbt. Men den nya tekniken och branschens nya arbetssätt ger också nya lockande möjligheter för cyberkriminella med resultatet att attackerna mot finanssektorn ökar kraftigt.

DORA-förordningens regler gäller för alla finansiella aktörer som till exempel:

Banker och andra kreditgivare

Betalinstitut

Värdepappersbolag

Fondförvaltare

Försäkringsbolag

Tjänstepensionsinstitut

Men DORA gäller även för

Tredjepartsleverantörer av ICT-tjänster

Mellanhänder för alternativa investeringsfonder

Leverantörer av crowdfoundingtjänster

Leverantörer av molntjänster

 

DORA ska säkerställa att finansiella aktörer levererar konsekventa och säkra tjänster genom hela informationskedjan.

DORA-förordningen i korthet

Målet med DORA är att harmonisera och standardisera alla cybersäkerhetsaktiviteter inom finanssektorn och för att uppnå detta fokuserar man på fem huvudområden med krav som ska tillfredsställas av samtliga berörda parter:

1.    Riskhantering

2.    Incidentrapportering

3.    Säkerhetstester

4.    Tredjeparts riskhantering

5.    Informationsutbyte 

1.   Riskhantering

DORA ställer krav på att finansiella aktörer måste ha ett omfattande och väldokumenterat ramverk för ICT-riskhantering. Det ska granskas och vid behov revideras utifrån nya hot och risker.

Ramverket ska bland annat innehålla:

Strategier, policys och rutiner som är nödvändiga för tillräckligt skydd.

Identifiering, klassificering och dokumentation av roller och ansvarsområden.

Riskbedömning vid förändringar.

Mekanismer för att upptäcka anomalier.

Resurser för att inhämta information om sårbarheter, cyberhot och incidenter.

2.   Incidentrapportering

DORA ställer krav på att man måste granska sina befintliga processer för incidentrapportering. Man måste övervaka, rapportera och logga alla incidenter.

3.   Säkerhetstester

DORA ställer krav på att de berörda organisationerna tillämpar olika typer av säkerhetstester, till exempel penetrationstester, såbarhetsskanningar, gapanalyser, fysiska säkerhetsgranskningar och att man vid behov anlitar extern certifierad expertis när det gäller säkerhetstester.

4.   Tredjeparts riskhantering

DORA ställer nya högre krav på finansiella aktörers avtal med sina leverantörer. Detta omfattar bland annat översyn och kontroll av tredjepartsrisker inom ICT. Finansiella institutioner måste också ha strategier för att hantera de risker som dessa leverantörer kan introducera. När behov uppstår måste man kunna byta leverantör.

5.   Informationsutbyte mellan finansiella aktörer

Syftet med detta avsnitt är bland annat att skapa ett gemensamt forum där finansiella aktörer kan utbyta information om säkerhetshot för att förstärka försvarsförmågan och minimera ICT-risker. Företagen måste lära sig att reagera på denna information om säkerhetshot.

När börjar kraven gälla?

De krav som är listade i de fem huvudområdena ovan måste uppfyllas senast den 17 januari 2025. Tiden fram till dess måste berörda organisationer använda till att anpassa sig till förordningen.

Hur förbereder vi oss?

Börja att arbeta med implementeringen i tid för att hinna med de förberedelser som krävs. Särskilt viktigt om man vet att det finns brister i nuvarande system och processer.

En GAP-analys kan ge svar på vilket gap som finns mellan krav och nuvarande tillstånd. Det gapet måste fyllas igen med ICT-åtgärder som tillfredsställer DORA-kraven.

Hela organisationen måste involveras i förberedelsearbetet, inte bara IT-avdelningen. Ledningen har en viktig och styrande roll när det gäller ICT-risker och hanteringen av dessa.

DORA-dokumentet på svenska kan laddas ner från:

https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:32022R2554&qid=1692170458065

Har du behov av Juridisk Rådgivning kring DORA, GDPR eller någon annan aspekt av informationssäkerhet? Läs mer om våra juridiska tjänster!