Uppfyll DORA-kraven för digital motståndskraft i finanssektorn

Digital Operational Resilience Act (DORA) trädde i kraft januari 2025 och ställer nya krav på finansiella företags digitala motståndskraft, IKT-riskhantering och leverantörsövervakning.

Så kan ChainSec hjälpa erLäs mer om DORA

IKT-riskhantering

DORA kräver att finansiella företag implementerar en omfattande IKT-riskhanteringsram med dokumenterade processer för att systematiskt identifiera, klassificera, övervaka och hantera digitala risker genom hela organisationen.

Incidentrapportering

Regelverket ställer strikta krav på snabb rapportering av allvarliga IKT-relaterade säkerhetsincidenter till relevanta tillsynsmyndigheter med tydligt specificerade tidsramar, innehållskrav och uppföljningsrutiner.

Leverantörsövervakning

DORA inför omfattande krav på hantering, utvärdering och kontinuerlig övervakning av kritiska IKT-tredjepartsleverantörer, inklusive särskild tillsynsövervakning för leverantörer som klassificeras som systemkritiska.

Digital återhämtning

Finansiella företag måste genomföra regelbundna och omfattande stresstester samt krishanteringsövningar för att säkerställa organisationens förmåga att snabbt återställa verksamhetskritiska funktioner efter allvarliga cyberstörningar.

DORA innebär ett paradigmskifte för finansiella företags hantering av digitala risker. Med ChainSec får ni en systematisk tillvägagångssätt till leverantörsövervakning och IKT-riskhantering som hjälper er uppfylla både nuvarande och framtida krav på digital motståndskraft.

Vad är DORA och vem omfattas?

Digital Operational Resilience Act (DORA) är en EU-förordning som trädde i kraft i januari 2025 och syftar till att stärka den digitala motståndskraften inom finanssektorn. Regelverket omfattar banker, försäkringsbolag, värdepappersföretag, betalningsinstitut, pensionsfonder och andra finansiella aktörer samt deras kritiska IKT-tjänsteleverantörer.

För att uppfylla DORA-kraven behöver finansiella företag implementera omfattande åtgärder:

  • Robust IKT-riskhantering med fokus på digitala risker och säkerhet i informations- och kommunikationsteknologi.

  • Systematisk övervakning och säkerställande av kritiska IKT-leverantörers säkerhetsnivå och prestanda.

  • Obligatoriska stresstester och krishanteringsprocesser för att verifiera digital motståndskraft och återhämtningsförmåga.

DORA:s fyra pelare för digital motståndskraft - IKT-riskhantering, incidenthantering, leverantörsövervakning och stresstester

Så stödjer ChainSec er DORA-efterlevnad

ChainSecs plattform är specialutvecklad för att hjälpa finansiella organisationer uppfylla DORA-kraven genom systematisk hantering av leverantörsrisker och digital motståndskraft. Automatisera säkerhetskontroller, dokumentera IKT-riskhantering och få full kontroll över era kritiska leverantörsrelationer.

Kritiska IKT-leverantörer

Dokumentera och kategorisera samtliga IKT-leverantörer i ett centralt register med fokus på kritiska tjänster. Identifiera vilka leverantörer som ska klassificeras som kritiska enligt DORA och få full översikt över alla leverantörsrelationer och deras risk för verksamheten.

Systematiska säkerhetsbedömningar

Utvärdera leverantörers säkerhetsnivå med anpassade DORA-baserade formulär och frågebibliotek. Identifiera systematiskt risker och sårbarheter i leverantörskedjan, dokumentera alla bedömningar och följ upp förbättringsarbetet strukturerat över tid.

IKT-riskhantering

Implementera omfattande riskhanteringsprocesser för era digitala tjänster och kritiska IKT-system. Bedöm konsekvenser av potentiella störningar, utvärdera leverantörers krishanteringsförmåga och återhämtningstider, samt dokumentera alla riskbedömningar.

Regelefterlevnad och rapportering

Skapa solid dokumentationsbas för tillsynsmyndigheterna med automatiskt genererade rapporter över IKT-riskhantering, tredjepartsövervakning, incidenthantering och genomförda stresstester enligt DORA:s specificerade rapporteringskrav.

Begär en gratis testperiod

Fyll i din e-postadress för en inbjudan till en demo och få en gratis testperiod av vår tjänst. Se hur vår plattform kan stötta ert säkerhetsarbete.

Få en inbjudan via e-post

Genom att skicka in bokningsförfrågan accepterar ni våra villkor.

Frågor och svar

Vad är DORA och när trädde det i kraft?

DORA (Digital Operational Resilience Act) är en EU-förordning som trädde i kraft den 17 januari 2025. Regelverket syftar till att säkerställa att finansiella företag och deras kritiska IKT-tjänsteleverantörer har robusta system och processer för att motstå, hantera och återhämta sig från IKT-relaterade störningar och cyberhot. DORA omfattar fem huvudområden: IKT-riskhantering, incidenthantering och rapportering, digital operativ motståndskrafttestning, hantering av IKT-tredjepartsrisker, samt informationsdelning om cyberhot.

Vilka finansiella företag omfattas av DORA?

DORA omfattar en bred kategori av finansiella företag inom EU, inklusive kreditinstitut och banker, betalningsinstitut och e-penninginstitut, värdepappersföretag och handelsplatser, försäkringsbolag och försäkringsförmedlare, fondförvaltare och UCITS-fonder, pensionsfonder och pensionsinstitut, kreditvärderingsinstitut samt krypto-tillgångsföretag. Även kritiska IKT-tredjepartsleverantörer som tillhandahåller tjänster till finanssektorn omfattas av direkt tillsyn. Till skillnad från många andra regelverk finns inga storleksundantag - även små företag måste uppfylla DORA-kraven, dock med proportionalitetsprincip.

Vad är skillnaden mellan DORA och NIS2?

DORA och NIS2 (Cybersäkerhetslagen) är båda EU-regelverk med fokus på cybersäkerhet, men har olika inriktningar. DORA är specifikt utformad för finanssektorn med mycket detaljerade krav på IKT-riskhantering, strikta regler för hantering av kritiska IKT-leverantörer med direkt EU-tillsyn, obligatoriska stresstester och motståndskraftsövningar, samt specifika rapporteringskrav för IKT-incidenter. NIS2 har bredare tillämpning över flera samhällskritiska sektorer med mer generella cybersäkerhetskrav och nationell tillsyn. Finansiella företag kan behöva följa både DORA och NIS2 beroende på verksamhet, men DORA har företräde för finansiella tjänster.

Vad krävs för IKT-riskhantering enligt DORA?

DORA:s krav på IKT-riskhantering är omfattande och systematiska. Företag måste implementera och dokumentera IKT-riskhanteringsramverk med policyer godkända av styrelsen, identifiera och klassificera alla IKT-tillgångar och beroenden, genomföra regelbundna riskbedömningar av IKT-system och data, implementera lämpliga säkerhetsåtgärder baserat på riskbedömningar, samt säkerställa kontinuitet och återhämtningsförmåga genom backup och återställningsplaner. Kraven inkluderar även kontinuerlig övervakning och loggning av IKT-system, samt regelbunden uppdatering av riskhanteringsramverket. Allt arbete ska dokumenteras och kunna verifieras vid tillsyn.

Vilka krav ställer DORA på hantering av IKT-leverantörer?

DORA inför mycket strikta krav på hantering av IKT-tredjepartsleverantörer. Företag måste upprätthålla ett fullständigt register över alla IKT-leverantörer, identifiera och klassificera kritiska IKT-leverantörer, samt säkerställa att avtal innehåller specifika säkerhetsklausuler inklusive rätt till revision, exitstrategier och incidentrapportering. Kontinuerlig övervakning av leverantörers prestanda och säkerhet krävs, liksom dokumenterade exitstrategier för kritiska leverantörer. Särskilt viktigt är att kritiska IKT-leverantörer kan komma under direkt tillsyn av EU-myndigheter. Företag måste kunna påvisa att de har kontroll över sina leverantörsrisker genom systematisk dokumentation.

Vad innebär DORA:s krav på incidentrapportering?

DORA ställer tydliga och strikta krav på rapportering av IKT-relaterade incidenter. Vid större IKT-incidenter måste företag lämna initial notifiering till sin tillsynsmyndighet inom 4 timmar efter att incidenten upptäckts, följt av en incidentrapport inom 72 timmar med mer detaljerad information. En mellanliggande rapport krävs när incidentens status förändras väsentligt eller senast en månad efter initial notifiering, och slutligen en slutrapport senast en månad efter att incidenten lösts. Rapporterna ska innehålla specifik information om incidentens art, påverkan, vidtagna åtgärder och grundorsaker. Även mindre betydande incidenter ska rapporteras på årsbasis.

Vad är digital operational resilience testing enligt DORA?

DORA kräver att finansiella företag regelbundet testar sin digitala motståndskraft genom olika typer av tester. Detta inkluderar årliga grundläggande tester av IKT-system och säkerhetsåtgärder, sårbarhetsbedömningar och skannning, scenariobaserade tester för olika typer av cyberhot, samt återhämtningstester för kritiska funktioner. Större företag måste minst vart tredje år genomföra avancerade threat-led penetration testing (TLPT) - simulerade cyberattacker genomförda av externa experter enligt EU:s ramverk. Alla tester ska dokumenteras omfattande och resultaten ska användas för att förbättra säkerheten och motståndskraften.

Hur kan ChainSec hjälpa oss med DORA-efterlevnad?

ChainSec erbjuder en specialiserad plattform som täcker flera kritiska aspekter av DORA-efterlevnad. Med vårt system kan ni skapa och underhålla ett centralt register över alla IKT-leverantörer med klassificering av kritiska leverantörer, genomföra systematiska säkerhetsbedömningar av leverantörer med DORA-anpassade frågeformulär, dokumentera och följa upp IKT-risker och sårbarheter i leverantörskedjan, implementera strukturerad övervakning av leverantörsprestanda och säkerhet, samt generera rapporter för tillsynsmyndigheter som visar regelefterlevnad. Vår lösning förenklar arbetet med att uppfylla DORAs omfattande krav på tredjepartsriskhantering och hjälper er bygga den dokumentation som krävs för att visa full kontroll över era IKT-leverantörsrisker.

Vilka sanktioner kan vi få vid bristande DORA-efterlevnad?

DORA inför betydande administrativa sanktioner för bristande efterlevnad. Tillsynsmyndigheter kan utfärda böter på upp till 10 miljoner euro eller 5% av företagets totala årsomsättning globalt (beroende på vilket som är högst) för allvarliga överträdelser. För medlemmar i ledningen kan böter uppgå till 1 miljon euro eller 5% av deras årslön. Utöver finansiella sanktioner kan tillsynsmyndigheter vidta andra åtgärder som att kräva att överträdelsen upphör, offentliggöra överträdelser, tillfälligt förbjuda ledningspersoner från att utöva sina funktioner, eller i allvarliga fall återkalla verksamhetstillstånd. Det är därför kritiskt att ha systematiska processer och dokumentation på plats för att visa efterlevnad.

Hur förhåller sig DORA till andra finansiella regelverk?

DORA kompletterar och harmoniserar befintliga EU-regelverk för finanssektorn genom att ersätta fragmenterade nationella IKT-riskregler med enhetliga EU-krav. DORA samverkar med regelverk som PSD2 för betalningssäkerhet, MiFID II för värdepappersföretag, Solvens II för försäkring och CRR/CRD för banker. Genom att skapa en gemensam standard för digital motståndskraft undviker DORA överlappande och motsägelsefulla nationella krav. Företag måste integrera DORA-efterlevnad med sin befintliga compliance-struktur, men fördelen är att regelverket skapar tydlighet och enhetlighet över hela EU. DORA:s krav kompletterar även GDPR:s dataskyddskrav genom att fokusera specifikt på operativ motståndskraft.