Välkommen till vår blogg - House of Control

Vad är DORA och varför är det viktigt för finansinstitut?

Skriven av House of Control | 2024-sep-24 10:07:01

DORA är en förkortning för Digital Operational Resilience Act, som är en EU-förordning som träder i kraft i januari 2025. Syftet med förordningen är att göra de olika IT-system som används inom finanssektorn mer motståndskraftiga. 

Bakgrunden är att finanssektorn blir alltmer beroende av intern och extern teknik för att leverera sina tjänster och att finanssektorn är avgörande för att samhället och ekonomin ska fungera. 

Dålig hantering av IKT-risker kan leda till störningar i de finansiella tjänsterna. Detta kommer att påverka individer, företag och hela ekonomin. Det är här DORA kommer in i bilden för att säkerställa att alla organisationer inom finanssektorn kan hantera dessa utmaningar.


Förordningen omfattar fem huvudområden:

Riskhantering inom IKT: Krav på företagsstyrning och ett ramverk för riskhantering. Finansinstitut måste ha ett ramverk för ledning och kontroll i linje med de tre försvarslinjerna (se nedan). 

Hantering av incidenter: Finansiella institut måste ha en rutin för att upptäcka, hantera och rapportera incidenter och det finns krav på vad rutinen ska innehålla, hur instituten ska klassificera incidenter, när incidenter ska rapporteras och hur de ska rapporteras.

Testning av digital motståndskraft: Hotbaserad penetrationstestning (TLPT) måste genomföras minst vart tredje år. DORA ställer krav på genomförandet, vem som är kvalificerad att testa och hur testerna ska följas upp.

Hantering av tredjepartsrisker: Riskhanteringen omfattar leverantörsrisker i samband med både IKT-tjänster och IKT-outsourcing. DORA ställer krav på vilka bedömningar som ska göras innan ett avtal ingås, hur avtalet ska följas upp och vad avtalet ska innehålla. 

Informationsutbyte: Finansinstitut måste dela information om cyberhot och sårbarheter mellan organisationer och med relevanta myndigheter. Detta inkluderar rapportering av IT-incidenter, delning av hotinformation och samarbete för att förbättra cybersäkerheten.

I den första punkten ovan - riskhantering inom IKT - nämns de tre försvarslinjerna. Dessa är:

Första linjen: Operativ ledning, som ansvarar för att identifiera och hantera risker direkt i den dagliga verksamheten.
Andra linjen: Riskhanterings- och compliancefunktioner, som övervakar och säkerställer att riskerna hanteras på ett korrekt sätt.
Tredje linjen: Internrevisionen, som oberoende bedömer effektiviteten i styrningen, riskhanteringen och kontrollprocesserna.

DORA i ett historiskt sammanhang

Finansmarknaderna och de digitala hot som sektorn står inför har blivit alltmer globaliserade. Ändå har det inte funnits något paneuropeiskt regelverk för IKT-säkerhet inom finanssektorn. Istället har kraven på motståndskraft och IKT-säkerhet reglerats av varje enskilt land, vilket ökar risken för att negativa händelser sprids över gränserna.

Utöver nationella regleringar har vi haft EU-krav på IKT-säkerhet inom endast delar av finanssektorn. Dessa har ofta utarbetats av Europeiska bankmyndigheten (EBA), Europeiska värdepappers- och marknadsmyndigheten (ESMA) eller Europeiska försäkrings- och tjänstepensionsmyndigheten (EIOPA). 

Eftersom reglerna för IT-risker bara delvis är harmoniserade på EU-nivå finns det luckor och överlappande regler, särskilt när det gäller rapportering av IT-incidenter och penetrationstestning. Detta skapar problem för finanssektorn, som är beroende av teknik och bedriver verksamhet över gränserna. När finansinstituten måste följa olika nationella regelverk blir det utmanande och kostsamt att hantera IT-risker på ett effektivt sätt.

I december 2022 antog EU förordning (EU) 2022/2554 om digital operativ motståndskraft för att konsolidera och avsevärt utvidga de alleuropeiska reglerna om IKT-riskhantering i finanssektorn. Detta är bättre känt som DORA.

Med DORA kommer vi att ha en heltäckande lagstiftning för IKT-säkerhet inom finanssektorn, som kommer att vara densamma i alla EU-länder. Vi pratar om en riktigt stor fix. DORA innebär en lagstiftning som är både effektivare och enklare för finansiella organisationer att följa. DORA kommer att träda i kraft i januari 2025. 

Även om DORA-direktivet är nytt, bygger regleringen på befintliga riktlinjer som tagits fram av de ovan nämnda europeiska finansinspektionerna. Kraven är kopplade till olika områden som är kända från IKT-riskhantering: Identifiering, skydd och förebyggande, upptäckt, svar och återhämtning, riskhantering för tredje part, lärande, utveckling och kommunikation.

Hur DORA påverkar den finansiella stabiliteten och den digitala motståndskraften

Betydelsen av stabilitet i finanssektorn och den roll som tekniken spelar för att säkerställa detta är till stor del anledningen till att DORA har antagits. DORA påverkar genom sina krav på digital resiliens. 

I korthet handlar det om att förebygga incidenter genom ledning och kontroll, korrekt hantering av oönskade incidenter, regelbunden testning av befintliga system och hur man hanterar outsourcade leveranser. Låt oss därför titta närmare på fyra områden och vad (några av) kraven innebär i praktiken. 

Krav på ett ramverk för hantering av IKT-risker: Syftet med ramverket är att göra det möjligt för organisationen att hantera IKT-risker snabbt, effektivt och heltäckande. Därför finns det krav på strategier, policyer och rutiner för olika delar av IKT-verksamheten, hur ofta ramverket ska ses över och krav på internrevision. Detta förstärker också krav på regelbunden utbildning och kartläggning av den teknik som används.

Krav på hantering av IKT-incidenter: Finansinstituten måste logga alla IKT-incidenter och allvarliga cyberhot. De måste också ha rutiner för övervakning, hantering och uppföljning. Grundorsaken ska identifieras, dokumenteras och hanteras för att förhindra upprepning. Även här finns krav på utbildning och utveckling av medarbetarna. 

Krav på regelbundna penetrationstester: Hotbaserad testning av den digitala motståndskraften hos finansinstitutets egna och outsourcade IKT-lösningar ska genomföras minst vart tredje år. Syftet är att bedöma beredskapen för att hantera IKT-incidenter och upptäcka svagheter, brister och avvikelser i den digitala motståndskraften samt ge underlag för att snabbt kunna genomföra förbättringsåtgärder. 

Krav på hantering av tredje part - externa IKT-leverantörer: DORA kräver ett riskbaserat förhållningssätt när det finansiella företaget ingår avtal med externa IKT-leverantörer. Alla måste ha ett register med en översikt över användningen av tjänster från IKT-leverantörer. De tjänster som stödjer kritiska eller viktiga funktioner ska registreras och registret ska kunna visas upp för tillsynsmyndigheterna.

Dessa påverkas av DORA

Kreditinstitut  
Betalningsinstitut  
Leverantörer av kontoinformationstjänster  
Institut för elektroniska pengar  
Värdepappersföretag  
Tjänsteleverantörer för kryptotillgångar  
Centrala värdepappersförvarare  
Central motpart  
Handelsplatser  
Transaktionsregister  
Förvaltare av alternativa investeringsfonder  
Förvaltningsbolag  
Leverantörer av datatjänster för rapportering  
Försäkrings- och återförsäkringsföretag  
Försäkringsförmedlare  
Återförsäkringsförmedlare  
Institut för tjänstepensioner  
Kreditvärderingsinstitut  
Administratörer av kritiska benchmarkindex  
Leverantörer av tjänster för gräsrotsfinansiering  
Centrala värdepappersförvarare  
Tredjepartsleverantörer av IKT-tjänster

De flesta företag inom den finansiella sektorn omfattas därför av DORA, med vissa undantag. Revisorer, redovisningskonsulter, fastighetsmäklare och inkassobolag omfattas i allmänhet inte av bestämmelserna. 

Varför DORA är viktigt för cyberhot

På en övergripande nivå syftar DORA till att skapa en hög nivå av digital motståndskraft i hela EU genom att införa gemensamma krav på säkerhet i nätverk och informationssystem som stöder finansiella tjänster.
DORA är viktigt för att förebygga cyberhot av ett antal skäl, inte minst:

  • Omfattningen av cyberhot i världen ökar, och de är gränsöverskridande och alltmer sofistikerade.
  • DORA ställer hårdare krav på att finansinstituten faktiskt följer regelverket för att skydda sig mot cyberhot. 
  • Med enhetliga krav i hela EU kan finansiella organisationer ta ett mer holistiskt grepp om cyberhot. 
  • Huvudsyftet med DORA är att förebygga och skydda finanssektorn från cyberhot som drabbar enskilda finansinstitut. Förordningen syftar också till att säkerställa att organisationer kan hantera incidenter och återhämta sig från alla typer av IKT-relaterade problem. 

 

 

Boka en digital demo av vår lösning för DORA