Hög tid för finansbranschen att förbereda sig för DORA

DORA (Digital Operational Resilience Act) är det nya gemensamma EU-regelverket för effektiv och övergripande hantering av digitala risker i finansbranschen. Förordningen trädde i kraft i januari i år och ska tillämpas av medlemsstaternas finansiella företag från den 17 januari 2025.

Syftet med DORA är att harmonisera befintliga regelverk för hantering och styrning av IKT (informations- och kommunikationsteknik)-risker, incidentrapportering och säkerställa operativ motståndskraft mot cyberattacker. Utöver det har förordningen även som mål att stärka stabiliteten och minska de risker som uppkommer i samband med den ökade digitaliseringen inom den finansiella sektorn.

De företag som omfattas av regelverket är banker och andra kreditinstitut, försäkringsbolag, värdepappersföretag och övriga företag inom den finansiella sektorn där finansiella tjänster ingår. Revisorer och revisionsföretag kan komma att inkluderas i ett senare skede. Utöver detta omfattas även kritiska IKT-leverantörer, inklusive molntjänstleverantörer (CSP:er). Regelverket ska tillämpas enligt proportionalitetsprincipen, vilket innebär att de högsta kraven ställs på de allra största företagen medan regelverket innehåller begränsade undantag för mindre företag.

DORA består av följande fem pelare:

  • Testning av digital operativ motståndskraft: förordningen uppställer bl.a. krav på årliga grundläggande tester av IKT-verktyg och -system

  • IKT-riskhantering: företagen måste ha ett heltäckande system för IKT-riskhantering som bl.a. innebär installation och underhåll av motståndskraftiga IKT-system och verktyg som minimerar påverkan av IKT-risker

  • IKT-incidentsrapportering: företagen måste bl.a. inrätta en smidig process för att logga/klassificera alla IKT-incidenter och fastställa större incidenter

  • Delning av information: förordningen uppmanar finansiella företag att utbyta information om cyberhot

  • IKT-tredjepartsrisker: företagen måste bl.a. säkerställa kontroll av risk som uppstår i samband med IKT-tjänster från tredjepartsleverantörer

Underlåtenhet att följa regelverket kan medföra vitesskyldighet på ett belopp om 1 % av den genomsnittliga dagliga omsättningen per dag (högst sex månader) för varje dag som reglerna inte uppfylls. Därför är det en god idé att förbereda sig redan nu för en implementering av regelverket.

Här kan du läsa förordningen om digital operativ motståndskraft (DORA).
Tim Månsson
2023-06-20
Vad vill du lära dig mer om?

Aktuella kurser hos FAR

Det ska vara enkelt att utvecklas, därför har vi utbildningar och flexibla kurser på grund- eller specialistnivå, som utförs både fysiskt och online.

Se alla kurser här
Hej och välkommen! Här söker du på allt inom ekonomiska regler
Andra har sökt på