Vad innebär DORA?

  • Vad innebär DORA?

Bygg upp er digitala motståndskraft

DORA är ett regelverk för att minimera digitala risker inom den finansiella sektorn. Här kan du läsa mer om regelverket och vad det innebär.

Det här är DORA – Digital Operational Resilience Act

Digital Operational Resilience Act (DORA), eller på svenska DORA-lagen, är ett regelverk inom EU som syftar till att effektivt hantera och minimera digitala risker inom den finansiella sektorn. Den omfattar alla finansiella företag och leverantörer av IT-tjänster inom EU.

När införs DORA?

DORA trädde i kraft den 16 januari 2023 och de finansiella företagen behöver efterleva regelverket från och med januari 2025. Det innebär att det finns en period på 24 månader för företagen att anpassa sig till DORA-kraven. Under denna tid behöver företagen implementera de nödvändiga åtgärderna och förbättringarna för att uppfylla kraven inom DORA-lagens olika områden.

Artiklarna 23 och 24 (hotbaserade penetrationstester) börjar gälla först 36 månader efter förordningens publiceringsdatum.

Vad innebär DORA?

DORA harmoniserar befintliga regler för hantering av IKT (Information, Kommunikation, Teknik) vad gäller styrning, riskhantering och incidentrapportering och omfattar fem olika huvudområden som anger krav och förväntningar på olika aspekter av operativ motståndskraft;

  • IKT-riskhantering
  • rapportering av IKT-relaterade incidenter
  • tester av det digitala försvaret
  • riskhantering av tredjepartsleverantörer av IT-tjänster
  • informationsdelning
Dora riskhantering

IKT-riskhantering inom DORA

En viktig del av DORA är att finansiella företag behöver ha en heltäckande IKT-riskhantering. Det innebär att företagen behöver ha robusta och motståndskraftiga IT-system och verktyg för att minimera riskerna. De behöver också identifiera och dokumentera sina verksamhetskritiska funktioner och tillgångar samt kontinuerligt övervaka och vidta förebyggande åtgärder mot IKT-risker. Dessutom behöver företagen ha en välutvecklad affärskontinuitetspolicy med kris- och återgångsplaner som testas årligen. Genom att ha en effektiv IKT-riskhantering kan företagen minimera risken för störningar och snabbt återhämta sig vid eventuella incidenter.

Dora Rapportering

Rapportering av IKT-relaterade incidenter

En annan viktig del av DORA är att finansiella företag behöver ha en smidig process för att logga, klassificera och rapportera IKT-relaterade incidenter. Det innebär att företagen behöver ha tydliga rutiner och rapporteringsmallar för att kunna lämna in första, mellanliggande och slutliga rapporter om incidenterna. Rapporteringen av IKT-relaterade incidenter är viktig för att myndigheterna och andra företag inom sektorn ska kunna agera och vidta åtgärder vid eventuella hot eller incidenter. Genom att ha en effektiv rapportering kan företagen också bidra till en ökad kunskap och medvetenhet om de olika typerna av incidenter och hot som finns.

Dora tester

Tester av det digitala försvaret

Finansiella företag behöver utföra regelbundna tester av sitt digitala försvar enligt DORA-regelverket. Det innebär att företagen behöver genomföra grundläggande tester av sina IKT-system och verktyg för att identifiera och eliminera eventuella svagheter eller brister. Dessutom behöver företagen genomföra avancerade penetrationstester för att testa säkerheten hos de IKT-tjänster som påverkar deras kritiska funktioner. Genom att regelbundet testa och uppdatera sitt digitala försvar kan företagen minimera risken för intrång och incidenter.

Dora tredjehandsparter

Riskhantering av tredjepartsleverantörer av IT-tjänster

DORA innefattar även krav på att finansiella företag måste hantera riskerna relaterade till tredjepartsleverantörer av IT-tjänster. Det innebär att företagen behöver säkerställa att de har kontroll över riskerna som uppstår vid användning av sådana leverantörer. De behöver också rapportera om alla outsourcade verksamheter och eventuella förändringar som påverkar deras kritiska IT-tjänster från tredjepart. Vidare behöver företagen ta hänsyn till IT-risker som kan uppstå vid anlitande av underleverantörer och säkerställa att avtalen med tredjepartsleverantörerna innehåller detaljerad information om servicenivåer och datahantering. Genom att hantera riskerna relaterade till tredjepartsleverantörer kan företagen minimera sårbarheter och säkerställa en säker och pålitlig IT-infrastruktur.

Nu krävs nära samarbete med tredjepartsleverantörer av verksamhetskritiska IKT-tjänster för att kunna visa att verksamheten är motståndskraftig vid cyberhot och andra incidenter.

Dora informationsdelning

Informationsdelning inom DORA

En viktig aspekt av DORA är att finansiella företag uppmuntras att dela information om cyberhot med varandra. Genom att organisera utbyte av information kan företagen öka sin kunskap och medvetenhet om olika typer av hot och incidenter. Dessutom tillhandahåller tillsynsmyndigheterna relevant anonym information om cyberhot mot finansiella företag. Genom att använda denna information kan företagen vidta åtgärder för att förebygga och hantera hot och incidenter på ett effektivt sätt.

Varför är DORA viktigt?

DORAs regelverk säkerställer att berörda företag inom EU agerar på samma sätt och följer samma standarder. Detta bidrar till en ökad säkerhet och stabilitet inom finanssektorn och minskar risken för störningar och intrång.

Vilka företag behöver följa DORA?

DORA omfattar alla finansiella företag, inklusive leverantörer av kritiska IT-tjänster. Regelverket gäller för exempelvis banker, värdepappersföretag och försäkringsbolag. DORA omfattar också andra intressenter inom finanssektorn, som hittills inte varit föremål för omfattande IKT-säkerhetsreglering. DORA gäller till exempel för mellanhänder som förvaltar alternativa investeringsfonder, leverantörer av datarapportering och leverantörer av molntjänster och tredjepartsleverantörer av IKT-tjänster. Tjänsteleverantörer av kryptotillgångar och leverantörer av crowdfundingtjänster är andra exempel på företag som omfattas. DORA gäller för hela EU samt för alla tredjepartsföretag som levererar IT-tjänster och lyder under de europeiska tillsynsmyndigheterna. Det innebär att mer än 22 000 finansiella företag och IT-tjänsteleverantörer inom EU omfattas av DORA.

Tekniska standarder inom DORA

För att reglerna och kraven i DORA ska kunna tillämpas på ett effektivt sätt kommer de europeiska tillsynsmyndigheterna att utveckla tekniska standarder och riktlinjer. Dessa standarder, kända som Regulatory Technical Standards (RTS) och Implementing Technical Standards (ITS), kommer att definiera och vägleda företagen i hur de ska implementera specifika krav inom DORA. Utvecklingen av dessa standarder tar tid och under denna period behöver företagen fortsätta sitt implementeringsarbete baserat på den befintliga informationen i DORA. Det är viktigt att företagen håller sig uppdaterade och anpassar sina processer och system när de nya tekniska standarderna blir tillgängliga.

Vi har lång erfarenhet av att hjälpa företag inom bank, finans och försäkring med regulatoriska krav. Läs mer om övriga regelverk här

Behöver du hjälp med att införa DORA?

Se till att ditt företag hamnar i ett bättre läge och minimera dina digitala risker. En robust miljö och effektiv riskhantering ger företaget konkurrensfördelar på en tuff marknad. Kontakta oss gärna om du vill veta mer.

Kontakt