DORA (Digital Operational Resilience Act) är det nya gemensamma EU-regelverket för effektiv och övergripande hantering av digitala risker i finansbranschen. Den nya strukturen flyttar fokus från att endast handla om företagens finansiella ställning till att även säkerställa hur väl de kan upprätthålla verksamheten och stå emot vid olika incidenter, cyberhot och it-problem. Med införandet av en enhetlig tillsynsmetod för alla relevanta sektorer i hela EU säkerställs både konvergens och harmonisering av tidigare praxis vad gäller cybersäkerhet och motståndskraft vid olika digitala incidenter.
"Att hantera och stå emot cyberhot och incidenter är i högsta grad en strategisk ledningsfråga."
"Alla finansiella företag behöver agera snabbt och säkerställa följsamhet till EU:s nya regelverk DORA."
"Det är inte bara banker som omfattas av DORA. Reglerna gäller för alla finansiella företag, inklusive leverantörer av kritiska IKT-tjänster. "
"Våga se säkerhetsriskerna! Tredjeparts- och leverantörsrisker är en blind fläck för många organisationer."
*IKT = Information, Kommunikation, Teknik
DORA börjar gälla från och med början på 2023 och i januari 2025 ska finansiella företag efterleva det nya regelverket.
DORA gäller från och med 16 januari 2023. Nya regulatoriska och tekniska standarder för implementering (RTS och ITS) väntas utvecklas av de europeiska tillsynsmyndigheterna (ESA).
En flertal regulatoriska och tekniska standarder för implementering kommer att definieras och utfärdas av de europeiska tillsynsmyndigheterna (EBA, EIOPA, ESMA). Dessa ger företagen specifikationer och vägledning för hur specifika DORA-krav skall implementeras.
DORA-kraven tillämpas 24 månader efter att regelverket börjar gälla. Det innebär att finansiella företag behöver efterleva DORA-kraven från och med 2025.
Finansiella företag måste ha ett heltäckande system för IKT-riskhantering, vilket omfattar att:
Finansiella företag är skyldiga att:
Förordningen kräver att alla företag:
Finansiella företag måste:
Vi ser DORA både som en utmaning och möjlighet för finansiella företag. Att DORA-reglerna är enhetliga för hela EU innebär att finansiella företag måste säkerställa att de kan hålla en konsekvent nivå vad gäller cybersäkerhet och operativ motståndskraft i alla sina EU-baserade verksamheter.
Med en tvåårig "förberedelseperiod" är det mycket som måste beaktas, implementeras och demonstreras. Startskottet har redan gått och finansiella företag genomför nu omfattande GAP-analyser för att utvärdera läget i förhållande till DORA. Det är till stor hjälp för att i tid identifiera eventuella områden som kräver ytterligare investeringar och prioritering.
Se till att ditt företag hamnar i ett bättre läge med möjligheter att möta olika krav på riskhantering, Threat Intelligence och penetrationstester. Det kommer att ge företaget konkurrensfördelar på en tuff marknad.
Vi ser att DORA innebär betydande förändringar för företag som lyder under tillsyn av ESMA eller EIOPA, men också för banker som sedan tidigare måste följa befintliga EBA-regler för banktillsyn. DORA omfattar också andra intressenter inom finanssektorn, som hittills inte varit föremål för omfattande IKT-säkerhetsreglering, till exempel tjänsteleverantörer av kryptotillgångar, mellanhänder som förvaltar alternativa investeringsfonder, leverantörer av crowdfundingtjänster, leverantörer av molntjänster och tredjepartsleverantörer av IKT-tjänster.
Nu krävs gemensamma ansträngningar och nära samarbete med tredjepartsleverantörer av verksamhetskritiska IKT-tjänster för att kunna visa att verksamheten är motståndskraftig vid cyberhot och andra incidenter.
Rapport: Kontroll över finansiella företags utlagda verksamhet
Riskhantering vid outsourcing: SOC-rapportering och tredjepartsintyg.
Med tanke på DORA:s omfattning är det troligt att flera områden redan ingår i olika förordningar som redan finns i Sverige. Andra delar som "Threat Intelligence" och penetrationstester är av ny karaktär och kräver därför mycket större fokus. Dessutom ökar pressen på ledningen att få en övergripande insyn och förståelse för företagets kritiska relationer med leverantörer av IKT-tjänster.
Vi på PwC Sverige rekommenderar alla finansiella företag att, oavsett hur långt du har kommit i arbetet med digitalt och operativt motstånd, använda DORA för att komma igång med säkerhetsarbetet och förbättra motståndskraften. En första GAP-analys är en bra utgångspunkt!
"DORA säkerställer att finansiella aktörer levererar konsekventa och säkra tjänster genom hela värdekedjan."