Den 17 januari träder EU-förordningen om digital operativ motståndskraft inom finanssektorn i kraft. Ett nytt lagförslag från regeringen kompletterar förordningen och innehåller bl.a. bestämmelser om Finansinspektionens tillsynsbefogenheter vid överträdelser av regelverket.
DORA-förordningen riktar sig till de flesta företag som står under Finansinspektionens tillsyn och ställer nya krav på dessa företag att bland annat:
- hantera risker inom informations- och kommunikationsteknologi (IKT),
- rapportera IKT-relaterade incidenter,
- utföra tester av den digitala operativa motståndskraften, och
- hantera IKT-relaterade tredjepartsrisker.
För de flesta finansiella företag som omfattas av DORA finns det en rörelsereglering i svensk rätt, exempelvis lagen om bank och finansieringsrörelse, med bestämmelser om tillsynsbefogenheter och sanktioner. Dessa bestämmelser har samma struktur och överensstämmer i hög utsträckning med varandra och tillgodoser i huvudsak kraven enligt DORA. Vissa skillnader finns dock, exempelvis gällande maxbeloppen för sanktionsavgifter.
Det aktuella lagförslaget från regeringen kompletterar DORA, dels genom ändringar i de olika rörelselagarna, dels genom en ny lag som reglerar Finansinspektionens tillsynsbefogenheter samt ingripanden och sanktioner vid överträdelser av förordningen. Finansinspektionen får också ansvaret för att besluta vilka företag som ska genomgå s.k. hotbildsstyrda penetrationstester, vilka Riksbanken ska övervaka och samordna. Ändringarna föreslås träda i kraft den 17 januari 2025.
