Digital Operational Resilience Act (DORA)
Det nya EU-regelverket, Digital Operational Resilience Act (DORA), har satt finansbranschen i fokus när det gäller att hantera digitala risker så som cyberhot och IT-relaterade problem. Regelverket innebär att företag och intressenter inom finanssektorn behöver säkerställa en konsekvent nivå av cybersäkerhet och operativ motståndskraft med efterlevnad senast 2025.
Det nya regelverket kommer med många utmaningar men även möjligheter. Genom att visa upp en motståndskraft mot cyberhot och andra incidenter kan företag inte bara uppfylla DORA:s krav, utan även stärka sin position och konkurrensfördel på en allt mer digitaliserad finansbransch som präglas av säkerhet och stabilitet. Har ni inte kommit i gång med förberedelserna än är det dags att göra det. Vi berättar hur.
Vad innebär DORA för finansföretag och intressenter?
Förordningen fokuserar på fyra huvudområden:
1. ICT Risk Management (IT-riskhantering)
Inom ICT Risk Management kräver DORA att finansiella aktörer har väldokumenterade ramverk för hantering av ICT-risker. De måste ha strategier, rutiner och resurser för att skydda sina tillgångar, identifiera och bedöma risker samt övervaka anomalier och incidenter.
2. ICT Incident Reporting (Rapportering av IT-relaterade incidenter)
Inom ICT Incident Reporting ställer DORA högre krav på incidenthantering och rapportering av ICT-relaterade incidenter. Aktörerna behöver övervaka och rapportera incidenter, etablera ledningsprocesser för incidenthantering och rapportera större incidenter till tillsynsmyndigheter.
3. Digital Operational Resilience Testing (Testning av den digitala motståndskraften)
Digital Operational Resilience Testing kräver att berörda organisationer regelbundet genomför säkerhetstester för att säkerställa sin digitala motståndskraft. Det kan innebära att de utför operativa motståndstester, sårbarhetsskanningar och penetrationstester, samt involverar externa certifierade aktörer för avancerade tester.
4. ICT Third-Party Management (Riskhantering av tredjepartsleverantörer av IT-tjänster och informationsdelning)
ICT Third-Party Risk Management innebär att finansiella aktörer måste hantera risker relaterade till sina tredjepartsleverantörer. De behöver ha register över avtal med leverantörer, utvärdera och föreskriva krav för kontrakt samt ha strategier för att hantera och byta leverantörer vid behov.
Kortfattat innebär DORA:
DORA syftar till att skapa en enhetlig och resilient digital infrastruktur inom finanssektorn genom att införa striktare krav på hantering, rapportering och testning av ICT-risker. För att uppfylla DORA krävs att organisationer har en etablerad Governance model för att driva säkerhetsarbetet och kontinuerligt utvärdera och justera sina säkerhetsåtgärder.
Vilka omfattas av det nya regelverket?
DORA omfattar över 22 000 finansiella företag och leverantörer av IT-tjänster som verkar inom EU. Alla aktörer på finansmarknaden, inklusive banker, värdepappersföretag, försäkringsbolag, mellanhänder, leverantörer av kryptotillgångar, datarapporteringstjänster och molntjänster, kommer att omfattas av de nya kraven. DORA kommer att medföra betydande förändringar för företag som lyder under tillsyn av ESMA eller EIOPA, samt banker som redan måste följa befintliga EBA-regler för banktillsyn. Regelverket omfattar även andra intressenter inom finanssektorn som tidigare inte har varit föremål för omfattande reglering av IT-säkerhet, exempelvis leverantörer av kryptotillgångar, förvaltare av alternativa investeringsfonder, crowdfundingtjänster, molntjänster och tredjepartsleverantörer av IT-tjänster.
När träder DORA i kraft?
DORA började gälla 2023 och från och med januari 2025 måste finansiella företag följa de nya reglerna. Under 2024 kommer flera regulatoriska och tekniska standarder för implementering att definieras och utfärdas av de europeiska tillsynsmyndigheterna (EBA, EIOPA, ESMA). Dessa standarder ger företagen specifika riktlinjer och vägledning för att implementera DORA-kraven. Från och med 2025 måste finansiella företag följa DORA-kraven, vilket är 24 månader efter att förordningen börjar gälla.
Hur bör finansföretag förhålla sig till DORA?
Medvetenhet och förståelse
Finansföretag behöver vara medvetna om DORA och förstå dess krav och mål. Det inkluderar att ta del av den fullständiga förordningen och de tillhörande riktlinjerna och standarderna som utfärdas av de europeiska tillsynsmyndigheterna.
Utvärdering av efterlevnad
Finansföretag bör utföra en noggrann utvärdering av sin befintliga IT-infrastruktur, hantering av cybersäkerhet, incidentrapportering och riskhantering i enlighet med DORA-kraven. Detta hjälper till att identifiera eventuella brister och områden som behöver förbättras för att uppnå överensstämmelse.
Implementering av krav
Finansföretag måste vidta åtgärder för att implementera de specifika kraven i DORA. Detta kan innebära att uppdatera eller skapa nya policys, rutiner och processer för att hantera och rapportera IT-risker, incidenter och tredjepartsleverantörer.
Uppdatering av system och infrastruktur
Finansföretag kan behöva uppdatera sin IT-infrastruktur och system för att möta DORA-kraven. Det kan inkludera att förbättra nätverkssäkerhet, säkerhetsprotokoll, systemövervakning och skydd mot cyberattacker.
Incidenthantering och rapportering
Finansföretag måste etablera och implementera processer för att snabbt upptäcka, hantera och rapportera IT-relaterade incidenter i enlighet med DORA. Det kan innefatta att utbilda personalen, etablera incidenthanteringsgrupper och säkerställa att rätt rapporteringslinjer finns på plats.
Tredjepartsriskhantering
Finansföretag måste noggrant utvärdera och hantera riskerna relaterade till sina tredjepartsleverantörer av IT-tjänster. Det innefattar att utvärdera leverantörernas säkerhetsåtgärder, ha tydliga avtalsvillkor och förmåga att byta leverantörer vid behov.
Regelbunden revision och rapportering
Finansföretag bör regelbundet granska och revidera sin efterlevnad av DORA-kraven och dokumentera detta internt. De kan också vara skyldiga att rapportera sin efterlevnad till behöriga myndigheter.
Det är viktigt för finansföretag att vara proaktiva och följa dessa steg för att säkerställa efterlevnad av DORA och upprätthålla en stark digital operativ motståndskraft mot cyberhot.
Ta hjälp av experter vid implementation
Samarbete med IT- och cybersäkerhetsexperter kan vara till hjälp för att navigera genom implementeringsprocessen. Vi på Sopra Steria erbjuder IKT-expertis och kan till exempel hjälpa er att komma i gång med Threat Intelligence och olika säkerhetstester. Vi hoppas att DORA kan ses som en möjlighet att komma i gång med säkerhetsarbetet och förbättra motståndskraften, oavsett var ni befinner er i processen. Kontakta oss om ni vill veta mer om hur DORA påverkar just er.
Inläggsförfattare
