Logga in

Logga in formulär

Ange ditt användarnamn. Ange ditt lösenord. Glömt ditt lösenord?

DORA-förordningen – EU ökar kraven på IT-säkerhet inom finanssektorn

I en värld med allt mer IT-incidenter och cyberhot rustar en av de mest utsatta sektorerna, finanssektorn, för att kunna möta framtida hot. Genom det nya DORA-regelverket ställs krav på organisationer inom finanssektorn att implementera åtgärder för att kunna hantera IKT-störningar och cyberhot. I denna analys går vår expert, Didrik Värmon, igenom vad regelverket innehåller och analyserar dess effekter för EU:s finanssektor.  

Bakgrund

Digital Operational Resilience Act (förordning [EU] 2022/2554, ”DORA”) är en omfattande EU-förordning som syftar till att stärka den digitala operativa motståndskraften inom finanssektorn. Antagen som en del av EU Digital Finance-paketet, trädde DORA i kraft den 17 januari 2023 och tillämpas från och med 17 januari 2025. Regelverket är utformat för att säkerställa att organisationer inom EU:s finanssektor (”finansiella entiteter”) kan motstå, hantera och återhämta sig från alla typer av IKT-relaterade störningar och hot. 

Allmänt om regelverket

Syfte och mål

DORAs huvudmål är att skapa en robust och harmoniserad ram för digital operativ motståndskraft inom EU:s finanssektor. De specifika målen inkluderar att: 

  • Skapa hög gemensam nivå av digital operativ motståndskraft. 
  • Skapa en enhetlig lagstiftning över hela EU för att underlätta gränsöverskridande verksamheter och minska regulatorisk differens inom unionen. 
  • Förbättra informationsutbytet och samarbetet mellan finansiella entiteter och deras tjänsteleverantörer, inklusive molntjänstleverantörer. 

Hur ser regelverket ut?

DORA består primärt av en EU-förordning. Det är i själva förordningen som de centrala bestämmelserna framgår och det är ur den man hittar de skyldigheter som åläggs finansiella entiteter.  Förordningen utgör dock inte det enda regelverket som reglerar området. Som ett komplement till förordningen kommer ett antal riktlinjer och tekniska standarder (Regulatory Technical Standards ”RTS” eller Implementing Technical Standards ”ITS”) att finnas. Tanken med dessa regelverk i en andra nivå är att de ska förklara hur DORA ska tillämpas och fungera i praktiken. Både riktlinjer och tekniska standarder tas fram gemensamt av de tillsynsmyndigheter på EU-nivå som utövar tillsyn över finansmarknadsområdet, European Banking Authority (”EBA”), European Securities and Markets Authority (”ESMA”) och European Insurance and Occupational Pensions Authority (”EIOPA”). Riktlinjerna antas direkt av respektive tillsynsmyndighets styrelse och de tekniska standarderna beslutas av EU-kommissionen.  

Vid tidpunkten för skrivandet av denna analys har två paket av standarder och riktlinjer tagits fram av tillsynsmyndigheterna. Ett första paket innehållande utkast till fyra tekniska standarder publicerades under början av 2024. Det innehöll följande tekniska standarder: 

  • RTS on ICT Risk Management Framework and on simplified ICT Risk Management Framework 
  • RTS on classification of major incidents and significant cyber threats  
  • ITS on Register of Information 
  • RTS to specify the policy on ICT services supporting critical or important functions. 

Ett andra paket presenterades under sommaren 2024 innehållande fyra nya tekniska standarder och två riktlinjer. Dessa berörde IKT-relaterade incidenter, hotbildsstyrd penetrationstestning, gemensamma undersökningsgrupper och harmonisering av villkor för tillsyn av kritiska tredjepartsleverantörer Följande tekniska standarder ingick i det andra paketet:  

  • RTS and ITS on the content, format, templates and timelines for reporting major ICT-related incidents and significant cyber threats  
  • RTS on the harmonization of conditions enabling the conduct of the oversight activities 
  • RTS specifying the criteria for determining the composition of the joint examination team (JET) 
  • RTS on threat-led penetration testing (TLPT). 

Utöver de tekniska standarderna ovan ingick dessa två riktlinjer i det andra paketet: 

  • Guidelines on the estimation of aggregated costs/losses caused by major ICT-related incidents 
  • Guidelines on oversight cooperation. 

Vilka omfattas av förordningen

DORA omfattar ett brett spektrum av aktörer inom finanssektorn. De entiteter som faktiskt faller under förordningen framgår av artikel 2 DORA. I artikel 2.1 (a)-(u) anges de entiteter som direkt faller under DORA:s tillämpningsområde. Det handlar till exempel om banker, försäkringsbolag, värdepappersbolag, kredit- eller betalningsinstitut, försäkringsförmedlare.

I artikel 2 DORA (artikel 2.3) anges ett antal olika entiteter inom ”finanssektorn” som undantas från förordningen. De som undantas är följande entiteter:  

  • Förvaltare av alternativa investeringsfonder enligt artikel 3.2 i direktiv 2011/61/EU
  • Små försäkrings- eller återförsäkringsbolag som undantas från Solvens II-direktivet (2009/138/EG) enligt artikel 4 Solvens II-direktivet 
  • Små tjänstepensionsinstitut som förvaltar pensionsplaner som tillsammans inte har fler än totalt 15 medlemmar 
  • Fysiska- eller juridiska personer som är undantagna från regelverket som reglerar värdepappersmarknaden (Mifid-regelverket, direktiv 2011/61/EU) enligt artikel 2–3 Mifid  
  • försäkringsförmedlare, återförsäkringsförmedlare och försäkringsförmedlare som bedriver förmedling som sidoverksamhet som är mikroföretag eller små eller medelstora företag
  • postgiroinstitut som avses i artikel 2.5.3 i direktiv 2013/36/EU. 

Centrala bestämmelser i DORA

DORA består av flera viktiga komponenter innehållande skyldigheter för de organisationer som omfattas av förordningen. I denna kommande del kommer vi tillhandahålla en överblick över de centrala områden som återfinns i kapitel II-V DORA.  

IKT Riskhantering

En första central komponent i DORA är de bestämmelser som man hittar i kapitel II DORA. Dessa bestämmelser innehåller skyldigheter för finansiella entiteter som omfattas av förordningen gällande IKT-riskhantering. För de som sen tidigare sorterats under EIOPA:s (till exempel försäkringsbolag) eller EBA:s (banker) ansvarsområden innebär kraven i kapitel II DORA ingen radikal förändring. Kraven gällande hantering av IKT-risker ligger till den större delen i linje med EIOPA:s och EBA:s befintliga riktlinjer för styrning av IKT- och säkerhetsrisker (EIOPA-BoS-20/600 - Riktlinjer för säkerhet och företagsstyrning avseende informations- och kommunikationsteknik, EBA/GL/2019/04 - EBA:s riktlinjer för hantering av IKT-risker och säkerhetsrisker). För andra organisationer kommer dessa skyldigheter innebära större förändringar.  

Kraven i kapitel II DORA innebär i korthet att finansiella entiteter måste skapa, implementera och underhålla ett omfattande ramverk för att bedöma och hantera IKT-risker. Detta ramverk ska syfta till att kunna:  

  • identifiera, klassificera och dokumentera verksamhetskritiska funktioner och tillgångar 
  • kontinuerligt övervaka alla källor till IKT-risker för att vidta förebyggande skyddsåtgärder
  • säkerställa omedelbar upptäckt av onormala aktiviteter
  • införa en anpassad och heltäckande affärskontinuitetspolicy med kris- och återgångsplaner, inklusive årlig testning av planerna, som omfattar alla stödjande funktioner 
  • etablera mekanismer för att utvecklas och dra lärdomar av såväl externa händelser som företagets egna IKT-incidenter. 

Incidentrapportering

Likt flertalet andra nära besläktade regelverk (till exempel GDPR och NIS) innehåller kapitel II DORA krav gällande hantering och rapportering av IKT-relaterade incidenter. Skyldigheterna gällande hantering, klassificering och rapportering av IKT-relaterade incidenter innebär till att börja med att finansiella institut ska implementera processer för att upptäcka och hantera IKT-relaterade incidenter och betydande cyberhot (artikel 17 DORA).

Finansiella institut ska även kunna klassificera IKT-relaterade incidenter och cyberhot och genom det fastställa dessa inverkan genom ett antal kriterier som anges i DORA (artikel 18 DORA).

Finansiella institut ska slutligen rapportera allvarliga IKT-relaterade incidenter till relevant tillsynsmyndighet och till berörda kunder (om incidenter påverkar deras ekonomiska intressen). Tidsfrister för rapportering av IKT-relaterade incidenter fastställs genom de tekniska standarder som kompletterar förordningen (artikel 19–20 DORA). I det förslag till tekniska standarder som tagits fram (som i skrivandets stund ännu inte fastställts av EU-kommissionen) regleras de tidsfrister som gäller för den inledande rapporteringen samt efterföljande kompletterande rapporteringar.

Test av digital sårbarhet och motståndskraft

I DORA fastställs krav på testning av digital operativ motståndskraft för alla företag inom tillämpningsområdet, med undantag för mindre företag, där de måste: 

  • årligen utföra grundläggande tester av IKT-verktyg och -system
  • identifiera, hindra och omedelbart eliminera eventuella svagheter, brister eller luckor vid genomförandet av motåtgärder
  • regelbundet utför avancerade penetrationstester (TLPT) för IKT-tjänster som påverkar kritiska funktioner. Tredjepartsleverantörer av IKT-tjänster måste delta och fullt ut samarbeta i testaktiviteterna.

Tredjepartsleverantörer och outsourcing

En central del av DORA hittar man i kapitel V. Den delen av förordningen reglerar skyldigheter för finansiella entiteter gällande hantering av IKT-tredjepartsrisker och outsourcing. I artikel 28–30 DORA hittar man de skyldigheter som finansiella entiteter har gällande hantering av IKT-tredjepartsrisk. I dessa bestämmelser hittar man dels ett antal krav gällande avtalsvillkor som finansiella entiteter måste inkludera i avtal med IKT-leverantörer (artikel 30 DORA), dels bestämmelser som innebär krav på finansiella entiteter att göra bedömningar gällande koncentrationsrisk för alla outsourcingkontrakt som tillhandahåller kritiska funktioner.

Kraven för hanteringen av tredjepartsrisker i DORA stämmer i stora drag överens med de befintliga riktlinjer som tagits fram av de tre europeiska tillsynsmyndigheterna, EBA, ESMA och EIOPA. En viktig skillnad från ESMA:s och EIOPA:s riktlinjer är dock att dessa enbart omfattar outsourcing till molntjänstleverantörer. Kraven i DORA kommer att omfatta all typ outsourcing av IKT-utrustning, inte bara leverantörer av molntjänster.  

Analys

Som jag ser det finns det flera potentiellt positiva effekter i och med att ett regelverk som DORA träder i kraft. Vi lär se en generellt förbättrad säkerhet inom finanssektorn i takt med ett finansiella entiteter genomför de förändringar som är nödvändiga för att uppfylla kraven i DORA. Vi bör även se en finanssektor som står bättre rustad mot cyberhot eller andra IKT-relaterade störningar, något som är viktigt då denna sektor utgör en allt större måltavla i en mer osäker värld. Förhoppningsvis leder även DORA till en ökad harmonisering gällande regulatoriska krav vilket bör underlätta gränsöverskridande verksamhet. Slutligen bör man inte glömma effekterna för oss enskilda medborgare. En minskad risk för dataintrång och missbruk av våra personuppgifter är en önskvärd effekt av att organisationer rättar sig efter DORA. Särskilt med tanke på de potentiella negativa konsekvenser som till exempel en cyberattack inom finanssektorn kan ha för enskilda medborgare. 

Införandet av DORA bör dock inte enbart ses som någonting positivt. Inget gott som inte för med sig något ont. Implementering av regelverket kommer att innebära stora kostnader för finansiella entiteter vilket kommer att vara betungande, särskilt för mindre aktörer. DORA är inte det enda regelverket dessa organisationer har att förhålla sig till utan utgör en liten påbyggnad i ett redan tungt batteri av regelverk som dessa organisationer har att förhålla sig till. 

Avslutande tankar

DORA-regelverket representerar ett betydande steg framåt för att stärka den digitala operativa motståndskraften inom EU:s finanssektor. Trots vissa betydande utmaningar initialt är min uppfattning att regelverket kommer att vara till nytta för finanssektorn inom EU. Genom att följa DORA-regelverket kan finansiella entiteter inte bara säkerställa efterlevnad utan också bygga förtroende hos kunder och intressenter genom att visa ett starkt engagemang för digital säkerhet och motståndskraft. Detta är avgörande i en alltmer digitaliserad värld där cyberhot och IKT-relaterade risker blir allt större.

Analys av förordning (EU) 2022/2554 ”DORA”.

Ursprungligen publicerad i JP ITnet.

Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.

Publicerad 5 nov 2024

Didrik Värmon

Regulatory Specialist, Max Matthiessen

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Tjänster

Nyheter

EU-domstolen har i ett förhandsavgörande redogjort för tolkningen av begreppet berättigat intresse enligt artikel 6.1 första stycket f i dataskyddsförordningen. Vår expert Ranja Bunni har analyserat avgörandet.  

3 dec 2024

Vår dataskyddsjurist Beata Rosvall svarar på frågan. 

2 dec 2024

Vår rådgivare och jurist Beata Rosvall berättar i detta JP play-avsnitt om vad som händer med NIS2 och CER-direktivet.

2 dec 2024