Vad innebär EU:s nya regelverk för cybersäkerhet och affärskontinuitet inom finanssektorn? Här ska vi kortfattat redogöra för vad Digital Operational Resilience Act, eller DORA, kommer att  innebära för svenska företag verksamma inom finans, bank, försäkring, med mera.

Vad är DORA?

DORA, eller Digital Operational Resilience Act, är ett banbrytande regelverk som Europeiska Unionen har infört för att stärka cybersäkerheten inom bank- och finanssektorn. Syftet med DORA är att säkerställa att finansiella institutioner och marknadsaktörer är rustade för att hantera och förebygga cyberhot, samtidigt som de bibehåller operativ stabilitet. Detta är särskilt viktigt med tanke på den ökande digitaliseringen av finanssektorn och det ökande antalet cyberattacker.

EU:s nya regelverk DORA i korthet:

  • EU tar ett helhetsgrepp på effektiv riskhantering, möjligheten att driva verksamheten i händelse av cyberattack eller IT-haveri, samt riskhantering kopplat till tredjepartsleverantörer.
  • DORA ställer krav på unionens samtliga aktörer verksamma inom finanssektorn, oavsett storlek. Eftersom regelverket är övergripande omfattas alla aktörer av förordningen, inklusive deras tredjepartsleverantörer. Mer om vilka företag som omfattas kan du läsa längre ner.
  • EU:s tillsynsmyndigheter ESA har i uppdrag att se till att regelverket efterföljs. Berörda företag och institutioner har fram till 2025 på sig att implementera Digital Operational Resilience Act.

Inom vilka områden kommer DORA att bli avgörande?

DORA kommer att ha en bred inverkan på flera områden inom finanssektorn. Det kommer att påverka hanteringen av operativa risker, affärskontinuitet, incidentrapportering, och förmågan att reagera effektivt på incidenter.

Vidare kommer DORA att sätta höga standarder för att säkerställa att finansaktörer kan upprätthålla operativ kontinuitet och dataintegritet även under cyberattacker. Det senare faller inom kategorin Informations- och kommunikationsteknik, eller IKT som det också kallas. Här ska vi gå in på vad det nya regelverket kommer att innebära mer i detalj.

IKT-Riskhantering

Alla finansiella verksamheter inom EU måste ha ett heltäckande system för riskhantering kopplade till IKT. Detta innebär bland annat att kunna:

  • Identifiera och dokumentera verksamhetens kritiska funktioner och tillgångar.
  • Installera säkra system och verktyg som minimerar påverkan av IKT-risker.
  • Monitorera och identifiera samtliga källor till IKT-risker, i syfte att upptäcka onormal aktivitet och ta fram förebyggande åtgärder.
  • Ta fram en heltäckande policy för affärskontinuitet, inklusive detaljerade kris- och återställningsplaner.
  • Testa planerna årligen
  • Ta fram ett system för att kunna dra lärdomar och vidta åtgärder utifrån såväl egna som andra företags IKT-incidenter.

Rapportering av risker kopplade till IKT

Digital Operational Resilience Act innebär ett nytt ramverk för klassificering, hantering och rapportering som kommer kräva en förbättring i verksamheters förmåga att upptäcka och hantera incidenter. Målet är en harmonisering av branschens nuvarande rapporteringskrav. För företag gäller det därför att:

  • Utveckla en effektiv process för att klassificera och logga alla incidenter kopplade till IKT. Incidenterna ska klassas enligt kriterier framtagna av de europeiska tillsynsmyndigheterna.
  • Lämna in tre rapporter (initial, mellanliggande och slutlig rapport) om alla incidenter kopplade till IKT.
  • Rapportera IKT-incidenter i enlighet med de standardmallar som ESA (EU:s tillsynsmyndighet) tagit fram för ändamålet.

Testning av verksamheters digitala motståndskraft

Den nya förordningen innebär också att alla finansiella företag inom EU blir skyldiga att testa sin digitala sårbarhet och motståndskraft. Mer specifikt innebär detta att:

  • Varje år genomföra grundläggande tester av sina IKT-system och verktyg.
  • Utan dröjsmål åtgärda alla sårbarheter som identifieras vid testning.
  • Var tredje år genomföra omfattande penetrationstester (TLPT). Testets utformning kommer att specificeras i en teknisk standard (RTS). TLPT-testning kommer bara att krävas av utvalda företag vars verksamhet bedöms vara särskilt systemviktig.
  • Testen innefattar även tredjepartsleverantörer, vilka är skyldiga att delta och samarbeta fullt ut. 

Hantering av IKT-risker hos tredjepart

Med DORA får alla finansiella aktörer inom EU ett gemensamt ramverk för riskhanteringen av IKT-tjänster från tredjepartsleverantörer. Mycket i det nya ramverket känns igen från ESA:s befintliga regelverk, men det finns också en del förändringar. Bland annat utvidgas kravet på outsourcing av IKT-utrustning från att enbart gälla molnleverantörer till att omfatta alla tredjepartsleverantörer. Vidare måste företag även vidta en rad andra åtgärder, som till exempel:

  • Bedöma potentiella IT-risker som kan uppstå vid anlitande av underleverantörer, samt säkerställa kontroll av riskerna som nyttjandet av IKT-tjänster från tredjepartsleverantörer innebär.
  • Rapportera all outsourcad verksamhet, samt alla genomförda förändringar kopplade till kritiska IKT-tjänster från tredje part.
  • Förenkla heltäckande övervakning genom att förena viktiga delar av IKT-tjänsterna och leverantörssamarbetet med den egna verksamheten.
  • Se till att avtalen med tredjepartsleverantör innehåller detaljerad och uttömmande information om servicenivå, plats för hantering och lagring av data, med mera.

Uppmaning att dela information

För att säkerställa en stark cybersäkerhet uppmanas alla finansiella aktörer verksamma inom EU att utbyta information om cyberhot med varandra. Europeiska unionens tillsynsmyndighet, ESA, mottar och tillhandahåller anonym data om cyberhot och förväntar sig att företagen tar fram processer för att agera på informationen.

Vilka företag kommer att omfattas av DORA?

DORA kommer att omfatta en bred skara finansiella aktörer, inklusive banker, försäkringsbolag, värdepappersföretag och marknadsplatser. Som redan nämnts kommer regelverket även att beröra tredjepartsleverantörer som tillhandahåller kritiska tjänster åt finanssektorn. Om leverantörerna är baserade utanför EU kommer de behöva starta ett europeiskt dotterbolag för att kunna fortsätta bedriva verksamhet i unionen.

DORA är utformat för att vara inkluderande och tillämpas på både stora finansinstitutioner och mindre aktörer, eftersom alla har en viktig roll att spela i att upprätthålla cybersäkerheten. Därför kommer ytterst få företag inom finanssektorn vara undantagna DORA-reglerna.

I och med den nya förordningen omfattas även aktörer som tidigare inte berörts. Bland dessa kan nämnas leverantörer av kryptotjänster, alternativa investeringsfonder, crowdfunding, försäkringsförvaltare, revisorer, med mera.

När börjar Digital Operational Resilience Act (DORA) att gälla?

DORA började gälla redan den 1 januari i år (Q1 2023). Dock har företagen 24 månader på sig att tillämpa lagen i sin verksamhet. Två år kan låta som en lång tid, men faktum är att förändringar i IKT-processer har en tendens att dra ut på tiden. Således bör man inte vänta alltför länge med att påbörja sitt förändringsarbete.

Tillsynen av företag börjar i januari 2025 och de verksamheter som inte lever upp till lagstiftningen riskerar att åka på dryga böter.

Hur ska man arbeta för att implementera DORA i sin verksamhet?

Att implementera DORA framgångsrikt i sin verksamhet är en process i flera steg, som kräver såväl resurser som en väl utarbetad strategi. Här har vi sammanställt en lista på viktiga steg i processen:

  • Sätt er in i DORA-regelverket. Börja med att granska DORA-förordningen och dess begrepp och riktlinjer. Genom djup förståelse av de krav som utfärdats kommer ni kunna arbeta mer strukturerat och effektivt med er implementering.
  • Identifiera de olika ansvarsområdena. Identifiera de kritiska tjänster och system som är relevanta för ert företag och som kan påverka finansiell stabilitet och kunders förtroende.
  • Utvärdera er nuvarande praxis kring cybersäkerhet. Gör en noggrann utvärdering kring era befintliga säkerhetsrutiner, incidenthanteringsprocesser, säkerhetsarkitektur och er förmåga att upprätthålla operativ kontinuitet vid incidenter.
  • Ta fram en implementeringsplan. Skapa en detaljerad plan för implementering av DORA-kraven, inklusive tidsramar, ansvarsfördelning och allokering av resurser. Prioritera åtgärder baserat på risk och betydelse för verksamheten.
  • Uppdatera säkerhetspolicys och processer. Revidera och uppdatera era processer och policys så att de uppfyller DORA-kraven. Se även till att ha tydliga riktlinjer för incidenthantering, datahantering och operativ kontinuitet.
  • Investera i nödvändig teknik och utbildning. Gå igenom er nuvarande tekniska infrastruktur (inklusive tredjepartstjänster). Investera i ny teknik och byt eventuellt leverantör för att uppfylla DORA-regelverkets krav. Se även till att personal och inhyrda konsulter får adekvat utbildning i hur den nya tekniken fungerar.
  • Samarbeta med tillsynsmyndigheter och branschorganisationer. Genom nära samarbete med och vägledning av tillsynsmyndigheter och branschorganisationer kan ni försäkra er om att ni vidtar rätt åtgärder och gör rätt investeringar.
  • Kontinuerlig uppföljning och utvärdering: Implementeringen är bara första steget i arbetet för stärkt cybersäkerhet. För att säkerställa en hög säkerhetsnivå krävs löpande uppföljning och utvärdering av era processer.

DORA-förordningen eller NIS 2-direktivet, vad är viktigast?

En del aktörer, som exempelvis banker, omfattas både av DORA och det nya NIS 2-direktivet. Här har dock EU beslutat om att DORA-förordningen ska tillämpas före direktivet.

Vill ni hjälp med att anpassa er verksamhet till DORA?

DORA är en nödvändig och viktig satsning från EU för att stärka cybersäkerheten inom finanssektorn. Genom att implementera Digital Operational Resilience Act kommer finansaktörer att vara bättre rustade att möta de växande hoten från cyberangrepp och säkerställa att de kan upprätthålla kontinuiteten i sina tjänster och skydda kundernas data och tillgångar. Det är en gemensam ansträngning som kommer att gynna hela sektorn, deras kunder och i förlängningen samhället i stort.

På CGI är vi väl medvetna om de utmaningar som företagen står inför gällande DORA, men också de möjligheter som förordningen erbjuder i form av starkare cybersäkerhet och bättre hantering av incidenter. Våra experter har lång erfarenhet av såväl automatiserad regelefterlevnad som förstärkt dataskydd. Kontakta oss idag för ett inledande samtal om hur ni bäst förbereder er verksamhet inför Digital Operational Resilience Act. Vill ni få till ett fysiskt möte så finns vi i de flesta större städer i Sverige, från Malmö i syd till Kiruna i norr.