Vad är DORA (Digital Operational Resilience Act)?

Vad är DORA (Digital Operational Resilience Act)?

Lucas Rosvall
Publicerad av Lucas Rosvall
den

Hur kan finanssektorn skydda sig mot en allt mer digital och hotfylld värld? Europeiska unionen har tagit ett avgörande steg med införandet av DORA, Digital Operational Resilience Act, en ny lag som syftar till att stärka cybersäkerheten inom finansiella tjänster.

DORA är speciellt utformat för att stödja banker, försäkringsbolag och andra finansiella institutioner i deras förmåga att hantera och återhämta sig från digitala störningar.

Detta inkluderar allt från cyberattacker till tekniska fel och andra säkerhetshot, och säkerställer att dessa kritiska institutioner förblir motståndskraftiga.

Vad innebär DORA regelverket?

DORA innehåller flera specifika krav som riktar sig till att förbättra den digitala motståndskraften:

  • Riskhantering: Varje finansiellt företag måste ha en plan för att hantera digitala risker. Denna plan ska inkludera tydliga strategier för riskbedömning och riskminimering.
  • Incidentrapportering: Företagen måste rapportera större säkerhetsincidenter till en central myndighet snabbt. Detta hjälper till att snabbt adressera och sprida viktig information om potentiella hot.
  • Resiliens hos tredjepartstjänster: Företagen måste säkerställa att deras IT-tjänsteleverantörer också följer strikta säkerhetskrav. Detta är avgörande eftersom många finansiella tjänster är beroende av leverantörer.
  • Återhämtningsplaner: Varje institution ska ha en plan för hur de ska återgå till normal drift efter en störning. Dessa planer måste testas regelbundet för att garantera deras effektivitet.
DORA:s fyra delar

När börjar DORA gälla?

DORA-förordningen börjar gälla i januari 2025. Det ger finansiella institutioner och andra berörda parter tillräckligt med tid att förbereda sig för att möta de nya kraven.

Under denna övergångsperiod är det viktigt att organisationerna tar steg för att anpassa sina cybersäkerhetsstrategier och -rutiner för att säkerställa efterlevnad.

Förberedelsesteg inför DORA

För att hinna anpassa sig till DORA-förordningen behöver finansiella institutioner vidta flera viktiga steg:

  • Utbildning och medvetenhet: Se till att ledningen och anställda förstår DORAs krav och implikationer.
  • Risk och GAP-analys: Identifiera sårbarheter och skillnader mellan nuvarande praxis och DORAs krav.
  • Uppdatering av policyer: Anpassa interna policyer och rutiner för att uppfylla de nya säkerhetskraven.
  • Tekniska förbättringar: Investera i och uppgradera tekniska lösningar för att stärka IT-säkerheten.
  • Stresstester och simuleringar: Genomför stresstester för att utvärdera organisationens motståndskraft.
  • Kontinuerlig övervakning: Implementera processer för regelbunden granskning och anpassning till nya säkerhetsutmaningar.

Dessa steg planerar vi att utforska mer detaljerat i framtida artiklar.

Vilka företag omfattas av DORA?

DORA omfattar i princip alla företag som erbjuder finansiella tjänster inom EU. Det inkluderar till exempel banker och andra kreditinstitut, försäkringsbolag, värdepappersföretag, betalningsinstitut och e-penninginstitut. Dessutom måte även fondförvaltare, värdepappersfonder, pensionsfonder och kreditvärderingsinstitut följa regelverket.

En viktig aspekt av DORA är att regelverket även gäller för tredjepartsleverantörer som tillhandahåller IKT-tjänster (Informations- och kommunikationsteknologi) till finanssektorn. Det innebär att tekniska tjänsteleverantörer också måste följa reglerna när de arbetar med finansiella företag.

Det finns dock vissa lättnader för mindre företag. Mikroföretag, som definieras som företag med färre än 10 anställda och en årsomsättning eller balansomslutning som inte överstiger 2 miljoner euro, får vissa undantag från de mest krävande delarna av regelverket. Men även dessa företag måste upprätthålla en grundläggande nivå av digital säkerhet.

Hur skiljer sig DORA från NIS2?

DORA och NIS2 är båda regelverk utvecklade för att stärka cybersäkerheten, men de tjänar olika sektorer med skilda krav.

DORA är specifikt designad för den finansiella sektorn och inför detaljerade krav för att skydda system och data hos banker, försäkringsbolag och andra finansiella tjänster.

Det inkluderar strikta krav på riskhantering hos tredjepartsleverantörer som är kritiska för finansiella institutioner, samt obligatoriska stresstester och återhämtningsövningar för att säkerställa robusta försvarsmekanismer.

NIS2, å andra sidan, har en bredare tillämpning och omfattar vitala sektorer som energi, transport och hälsovård.

Till skillnad från DORA, som fokuserar på specifika säkerhetsåtgärder, tar NIS2 ett mer övergripande grepp genom generella säkerhetskrav för tredjepartsleverantörer över alla kritiska infrastrukturer.

När det gäller tillsyn sker DORA genomförande under noggrann översikt av finansiella tillsynsmyndigheter för att säkerställa strikt efterlevnad, medan NIS2 hanteras genom en blandning av nationella och sektorspecifika myndigheter, vilket gör att det skiljer sig mellan olika sektorer.

Sammanfattningsvis stärker DORA (Digital Operational Resilience Act) cybersäkerheten inom finanssektorn genom skärpta krav på riskhantering och incidentrapportering, och träder i kraft i januari 2025.

DORA skiljer sig också från NIS2 på flera sätt, exempelvis genom obligatoriska stresstester och återhämtningsövningar och striktare krav på riskhantering hos tredjepartsleverantörer.