Vad är DORA? Varför är det viktigt?
DORA (Digital Operational Resilience Act) är det nya gemensamma EU-regelverket för effektiv och övergripande hantering av digitala risker i finansbranschen. Den nya strukturen flyttar fokus från att endast handla om företagens finansiella ställning till att även säkerställa hur väl de kan upprätthålla verksamheten och stå emot vid olika incidenter, cyberhot och it-problem. Med införandet av en enhetlig tillsynsmetod för alla relevanta sektorer i hela EU säkerställs både konvergens och harmonisering av tidigare praxis vad gäller cybersäkerhet och motståndskraft vid olika digitala incidenter.
"Att hantera och stå emot cyberhot och incidenter är i högsta grad en strategisk ledningsfråga."
"Alla finansiella företag behöver agera snabbt och säkerställa följsamhet till EU:s nya regelverk DORA."
Det viktigaste på 30 sekunder
"Det är inte bara banker som omfattas av DORA. Reglerna gäller för alla finansiella företag, inklusive leverantörer av kritiska IKT-tjänster. "
Varför är DORA relevant?
- Reglerna omfattar fler än 22 000 finansiella företag och leverantörer av IKT-tjänster* verksamma inom EU.
- Förordningen kommer att medföra krav på samtliga aktörer på finansmarknaden. Det gäller exempelvis banker, värdepappersföretag, försäkringsbolag och mellanhänder, leverantörer av kryptotillgångar, leverantörer av datarapportering och leverantörer av molntjänster.
- Regelverket är en enhetlig struktur som tar ett helhetsgrepp på effektiv riskhantering, verksamhetsförmåga kopplad till it- och cybersäkerhet, och hantering av tredjepartsrisker, vilket ska säkerställa konsekventa tjänsteleveranser genom hela värdekedjan.
- Fem områden är centrala: IKT-riskhantering, rapportering IKT-relaterade incidenter, tester av det digitala försvaret, riskhantering tredjepartsleverantörer IKT-tjänster samt informationsdelning.
- Det nya regelverket är unikt genom att vara övergripande, gälla för hela EU, för alla tredjepartsföretag som levererar IKT-tjänster och som lyder under de europeiska tillsynsmyndigheterna (ESA).
"Våga se säkerhetsriskerna! Tredjeparts- och leverantörsrisker är en blind fläck för många organisationer."
*IKT = Information, Kommunikation, Teknik
När börjar DORA gälla?
DORA börjar gälla från och med början på 2023 och i januari 2025 ska finansiella företag efterleva det nya regelverket.
DORA gäller från och med 16 januari 2023. Nya regulatoriska och tekniska standarder för implementering (RTS och ITS) väntas utvecklas av de europeiska tillsynsmyndigheterna (ESA).
En flertal regulatoriska och tekniska standarder för implementering kommer att definieras och utfärdas av de europeiska tillsynsmyndigheterna (EBA, EIOPA, ESMA). Dessa ger företagen specifikationer och vägledning för hur specifika DORA-krav skall implementeras.
DORA-kraven tillämpas 24 månader efter att regelverket börjar gälla. Det innebär att finansiella företag behöver efterleva DORA-kraven från och med 2025.
DORA blir avgörande inom fem viktiga områden
- IKT-riskhantering
- Rapportering av IKT-relaterade incidenter
- Test av verksamhetens digitala sårbarhet och motståndskraft
- Riskhantering tredjepartsleverantörer IKT-tjänster
- Informationsdelning
IKT-riskhantering
Finansiella företag måste ha ett heltäckande system för IKT-riskhantering, vilket omfattar att:
- installera och underhålla motståndskraftiga IKT-system och verktyg som minimerar påverkan av IKT-risker,
- identifiera, klassificera och dokumentera verksamhetskritiska funktioner och tillgångar,
- kontinuerligt övervaka alla källor till IKT-risker för att vidta förebyggande skyddsåtgärder,
- säkerställa omedelbar upptäckt av onormala aktiviteter,
- införa en anpassad och heltäckande affärskontinuitetspolicy med kris- och återgångsplaner, inklusive årlig testning av planerna, som omfattar alla stödjande funktioner,
- etablera mekanismer för att utvecklas och dra lärdomar av såväl externa händelser som företagets egna IKT-incidenter.
Rapportering av IKT-relaterade incidenter
Finansiella företag är skyldiga att:
- utveckla en smidig process för att logga/klassificera alla IKT-incidenter och fastställa större incidenter enligt kriterierna i förordningen samt ytterligare specificerade av de europeiska tillsynsmyndigheterna (EBA, EIOPA och ESMA),
- lämna in en första, mellanliggande och slutlig rapport om IKT-relaterade incidenter,
- anpassa rapporteringen av IKT-relaterade incidenter genom standardmallar som utvecklats av ESA.
Test av verksamhetens digitala sårbarhet och motståndskraft
Förordningen kräver att alla företag:
- årligen utför grundläggande tester av IKT-verktyg och -system,
- identifierar, hindrar och omedelbart eliminerar eventuella svagheter, brister eller luckor vid genomförandet av motåtgärder,
- regelbundet utför avancerade penetrationstester (TLPT) för IKT-tjänster som påverkar kritiska funktioner. Tredjepartsleverantörer av IKT-tjänster måste delta och fullt ut samarbeta i testaktiviteterna.
Riskhantering tredjepartsleverantörer IKT-tjänster
Finansiella företag måste:
- säkerställa kontroll av risk som uppstår i samband med IKT-tjänster från tredjepartsleverantörer,
- rapportera samtliga outsourcade verksamheter och alla förändringar som uppstår gällande kritiska IKT-tjänster från tredjepart,
- ta hänsyn till IT-risker som kan uppstå vid anlitande av underleverantörer,
- få viktiga delar av IKT-tjänsterna och relationerna med tredjepartsleverantören att smälta samman för en komplett övervakning,
- säkerställa att avtal med tredjepartsleverantören av IKT-tjänster har detaljerad och fullständig information servicenivå, var data hanteras etc,
- verksamhetskritiska tredjepartsleverantörer av IKT-tjänster faller under sk Union Oversight Framework, som kan utfärda rekommendationer för att minska IKT-risker. Finansiella företag måste ta hänsyn till risker i samband tredjepartsleverantörer som inte följer rekommendationerna.
Informationsdelning
- Regelverket uppmanar finansiella företag att sinsemellan organisera utbyte av information om cyberhot,
- tillsynsmyndigheten tillhandahåller relevant anonym information om cyberhot mot finansiella företag. Därför bör företag implementera processer för att kontrollera och agera på informationen från myndigheterna.
DORA – hur ska vi förhålla oss?
Vi ser DORA både som en utmaning och möjlighet för finansiella företag. Att DORA-reglerna är enhetliga för hela EU innebär att finansiella företag måste säkerställa att de kan hålla en konsekvent nivå vad gäller cybersäkerhet och operativ motståndskraft i alla sina EU-baserade verksamheter.
Med en tvåårig "förberedelseperiod" är det mycket som måste beaktas, implementeras och demonstreras. Startskottet har redan gått och finansiella företag genomför nu omfattande GAP-analyser för att utvärdera läget i förhållande till DORA. Det är till stor hjälp för att i tid identifiera eventuella områden som kräver ytterligare investeringar och prioritering.
Se till att ditt företag hamnar i ett bättre läge med möjligheter att möta olika krav på riskhantering, Threat Intelligence och penetrationstester. Det kommer att ge företaget konkurrensfördelar på en tuff marknad.
Vi ser att DORA innebär betydande förändringar för företag som lyder under tillsyn av ESMA eller EIOPA, men också för banker som sedan tidigare måste följa befintliga EBA-regler för banktillsyn. DORA omfattar också andra intressenter inom finanssektorn, som hittills inte varit föremål för omfattande IKT-säkerhetsreglering, till exempel tjänsteleverantörer av kryptotillgångar, mellanhänder som förvaltar alternativa investeringsfonder, leverantörer av crowdfundingtjänster, leverantörer av molntjänster och tredjepartsleverantörer av IKT-tjänster.
Nu krävs gemensamma ansträngningar och nära samarbete med tredjepartsleverantörer av verksamhetskritiska IKT-tjänster för att kunna visa att verksamheten är motståndskraftig vid cyberhot och andra incidenter.
Så här säger Finansinspektionen 2023-02-28
Rapport: Kontroll över finansiella företags utlagda verksamhet
Läs mer om PwC:s tjänster
Riskhantering vid outsourcing: SOC-rapportering och tredjepartsintyg.
Vill du ha hjälp att anpassa ditt företag till DORA?
Med tanke på DORA:s omfattning är det troligt att flera områden redan ingår i olika förordningar som redan finns i Sverige. Andra delar som "Threat Intelligence" och penetrationstester är av ny karaktär och kräver därför mycket större fokus. Dessutom ökar pressen på ledningen att få en övergripande insyn och förståelse för företagets kritiska relationer med leverantörer av IKT-tjänster.
Vi på PwC Sverige rekommenderar alla finansiella företag att, oavsett hur långt du har kommit i arbetet med digitalt och operativt motstånd, använda DORA för att komma igång med säkerhetsarbetet och förbättra motståndskraften. En första GAP-analys är en bra utgångspunkt!
"DORA säkerställer att finansiella aktörer levererar konsekventa och säkra tjänster genom hela värdekedjan."
Läs mer om PwC:s tjänster inom Cyber Security.
Beställ DORA-guiden!
