Vad är DORA (Digital Operational Resilience Act)?

Vad innebär DORA-reglerna för hantering av digitala risker i finansbranschen?

Vad är DORA? Varför är det viktigt?

DORA (Digital Operational Resilience Act) är det nya gemensamma EU-regelverket för effektiv och övergripande hantering av digitala risker i finansbranschen. Den nya strukturen flyttar fokus från att endast handla om företagens finansiella ställning till att även säkerställa hur väl de kan upprätthålla verksamheten och stå emot vid olika incidenter, cyberhot och it-problem. Med införandet av en enhetlig tillsynsmetod för alla relevanta sektorer i hela EU säkerställs både konvergens och harmonisering av tidigare praxis vad gäller cybersäkerhet och motståndskraft vid olika digitala incidenter.

"Att hantera och stå emot cyberhot och incidenter är i högsta grad en prioriterad ledningsfråga."

Viktor Lindroth, ansvarig FS Risk & Regulation, PwC Sverige

Kontakta oss gärna för diskussion och hjälp med DORA!

FI föreslår nya föreskrifter enligt DORA-förordningen

(2024-09-05) Finansinspektionen (FI) föreslår nya föreskrifter om incidentrapportering och informationsregister i linje med DORA-förordningen. Förslagen innebär tydligare reglering av rapporteringens genomförande samt uppdaterade tidpunkter för inlämning av uppgifter. Dessutom föreslås ändringar för att undvika dubbelreglering och säkerställa korrekta hänvisningar. De nya reglerna träder i kraft den 17 januari 2025.
Läs mer om föreskrifterna

Det viktigaste på 30 sekunder

"Det är inte bara banker och försäkringsbolag som omfattas av DORA. Reglerna gäller för alla finansiella företag, inklusive leverantörer av kritiska IKT-tjänster. "

Johan Lindfors, rådgivare finansiell sektor, PwC Sverige

Varför är DORA relevant?

  • Reglerna omfattar fler än 22 000 finansiella företag och leverantörer av IKT-tjänster* verksamma inom EU.
  • Förordningen kommer att medföra krav på samtliga aktörer på finansmarknaden. Det gäller exempelvis banker, värdepappersföretag, försäkringsbolag och mellanhänder, leverantörer av kryptotillgångar, leverantörer av datarapportering och leverantörer av molntjänster.
  • Regelverket är en enhetlig struktur som tar ett helhetsgrepp på effektiv riskhantering, verksamhetsförmåga kopplad till it- och cybersäkerhet, och hantering av tredjepartsrisker, vilket ska säkerställa konsekventa tjänsteleveranser genom hela värdekedjan.
  • Fem områden är centrala: IKT-riskhantering, rapportering IKT-relaterade incidenter, tester av det digitala försvaret, riskhantering tredjepartsleverantörer IKT-tjänster samt informationsdelning. 
  • Det nya regelverket är unikt genom att vara övergripande, gälla för hela EU, för alla tredjepartsföretag som levererar IKT-tjänster och som lyder under de europeiska tillsynsmyndigheterna (ESA).

*IKT = Information, Kommunikation, Teknik

När börjar DORA gälla?

DORA började gälla från och med början på 2023 och i januari 2025 ska finansiella företag efterleva det nya regelverket.

En flertal regulatoriska och tekniska standarder för implementering har definierats och utfärdats av de europeiska tillsynsmyndigheterna (EBA, EIOPA, ESMA). Dessa ger företagen specifikationer och vägledning för hur specifika DORA-krav skall implementeras. 

DORA-kraven tillämpas 24 månader efter att regelverket börjar gälla. Det innebär att finansiella företag behöver efterleva DORA-kraven från och med januari 2025.

kollegor på kontor diskuterar DORA

Dora blir avgörande inom fem viktiga områden

IKT-riskhantering

Finansiella företag måste ha ett heltäckande system för IKT-riskhantering, vilket omfattar att: 

  • installera och underhålla motståndskraftiga IKT-system och verktyg som minimerar påverkan av IKT-risker,
  • identifiera, klassificera och dokumentera verksamhetskritiska funktioner och tillgångar,
  • kontinuerligt övervaka alla källor till IKT-risker för att vidta förebyggande skyddsåtgärder,
  • säkerställa omedelbar upptäckt av onormala aktiviteter, 
  • införa en anpassad och heltäckande affärskontinuitetspolicy med kris- och återgångsplaner, inklusive årlig testning av planerna, som omfattar alla stödjande funktioner,
  • etablera mekanismer för att utvecklas och dra lärdomar av såväl externa händelser som företagets egna IKT-incidenter.

Rapportering av IKT-relaterade incidenter

Finansiella företag är skyldiga att:

  • utveckla en smidig process för att logga/klassificera alla IKT-incidenter och fastställa större incidenter enligt kriterierna i förordningen samt ytterligare specificerade av de europeiska tillsynsmyndigheterna (EBA, EIOPA och ESMA),
  • lämna in en första, mellanliggande och slutlig rapport om IKT-relaterade incidenter,
  • anpassa rapporteringen av IKT-relaterade incidenter genom standardmallar som utvecklats av ESA.

Test av verksamhetens digitala sårbarhet och motståndskraft

Förordningen kräver att alla företag:

  • årligen utför grundläggande tester av IKT-verktyg och -system,
  • identifierar, hindrar och omedelbart eliminerar eventuella svagheter, brister eller luckor vid genomförandet av motåtgärder.

Dessutom kräver förordningen att vissa företag:

  • regelbundet utför avancerade penetrationstester (TLPT) för IKT-tjänster som påverkar kritiska funktioner. Tredjepartsleverantörer av IKT-tjänster måste delta och fullt ut samarbeta i testaktiviteterna.

Riskhantering tredjepartsleverantörer IKT-tjänster

Finansiella företag måste: 

  • säkerställa kontroll av risk som uppstår i samband med IKT-tjänster från tredjepartsleverantörer,
  • rapportera samtliga outsourcade verksamheter och alla förändringar som uppstår gällande kritiska IKT-tjänster från tredjepart,
  • ta hänsyn till IT-risker som kan uppstå vid anlitande av underleverantörer,
  • få viktiga delar av IKT-tjänsterna och relationerna med tredjepartsleverantören att smälta samman för en komplett övervakning,
  • säkerställa att avtal med tredjepartsleverantören av IKT-tjänster har detaljerad och fullständig information servicenivå, var data hanteras etc,
  • verksamhetskritiska tredjepartsleverantörer av IKT-tjänster faller under sk Union Oversight Framework, som kan utfärda rekommendationer för att minska IKT-risker. Finansiella företag måste ta hänsyn till risker i samband tredjepartsleverantörer som inte följer rekommendationerna.

Informationsdelning

  • Regelverket uppmanar finansiella företag att sinsemellan organisera utbyte av information om cyberhot,
  • tillsynsmyndigheten tillhandahåller relevant anonym information om cyberhot mot finansiella företag. Därför bör företag implementera processer för att kontrollera och agera på informationen från myndigheterna.

DORA – hur ska vi förhålla oss?

Vi ser DORA både som en utmaning och möjlighet för finansiella företag. Att DORA-reglerna är enhetliga för hela EU innebär att finansiella företag måste säkerställa att de kan hålla en konsekvent nivå vad gäller cybersäkerhet och operativ motståndskraft i alla sina EU-baserade verksamheter.

Med en tvåårig "förberedelseperiod" är det mycket som måste beaktas, implementeras och demonstreras. Startskottet har redan gått och finansiella företag genomför nu omfattande GAP-analyser för att utvärdera läget i förhållande till DORA. Det är till stor hjälp för att i tid identifiera eventuella områden som kräver ytterligare investeringar och prioritering.

Se till att ditt företag hamnar i ett bättre läge med möjligheter att möta olika krav på riskhantering, Threat Intelligence och penetrationstester. Det kommer att ge företaget konkurrensfördelar på en tuff marknad.

man läser om Dora på sin mobiltelefon

Vi ser att DORA innebär betydande förändringar för företag som lyder under tillsyn av ESMA eller EIOPA, men också för banker som sedan tidigare måste följa befintliga EBA-regler för banktillsyn. DORA omfattar också andra intressenter inom finanssektorn, som hittills inte varit föremål för omfattande IKT-säkerhetsreglering, till exempel tjänsteleverantörer av kryptotillgångar, mellanhänder som förvaltar alternativa investeringsfonder, leverantörer av crowdfundingtjänster, leverantörer av molntjänster och tredjepartsleverantörer av IKT-tjänster.

Nu krävs gemensamma ansträngningar och nära samarbete med tredjepartsleverantörer av verksamhetskritiska IKT-tjänster för att kunna visa att verksamheten är motståndskraftig vid cyberhot och andra incidenter.

Inköp och DORA-efterlevnad 2025

Source-to-pay (S2P) är en affärsprocess som omfattar alla aktiviteter relaterade till upphandling av varor och tjänster, från att identifiera behovet av en produkt eller tjänst till att göra slutbetalningen till leverantören. Har du koll på regelverket DORA och säkra system för S2P?

Läs mer om digitalisering och effektivisering av inköpsprocessen

DORA: 10 utmaningar på vägen mot lyckad efterlevnad och compliance

Ta del av denna sammanställning som ger dig råd och tips för att ligga i fas med DORA-direktivet.
Läs mer om DORA: 10 key challenges

Vill du ha hjälp att anpassa ditt företag till DORA?

Med tanke på DORA:s omfattning är det troligt att flera områden redan ingår i olika förordningar som redan finns i Sverige. Andra delar som "Threat Intelligence" och penetrationstester är av ny karaktär och kräver därför mycket större fokus. Dessutom ökar pressen på ledningen att få en övergripande insyn och förståelse för företagets kritiska relationer med leverantörer av IKT-tjänster.

Vi på PwC Sverige rekommenderar alla finansiella företag att, oavsett hur långt du har kommit i arbetet med digitalt och operativt motstånd, använda DORA för att komma igång med säkerhetsarbetet och förbättra motståndskraften. En första GAP-analys är en bra utgångspunkt!

"DORA säkerställer att finansiella aktörer levererar konsekventa och säkra tjänster genom hela värdekedjan."

Marie Strömberg, rådgivare IT Governance & Cyber Security, PwC Sverige

Beställ DORA-guiden!

Kontakta oss

Viktor Lindroth

Viktor Lindroth

Partner, ansvarig FS Risk and Regulation, PwC Sverige

Tel 0709-29 31 73

Johan Lindfors

Johan Lindfors

Rådgivare finansiell sektor, PwC Sverige

Tel 0703-93 48 99

Marie Strömberg

Marie Strömberg

Director, rådgivare IT Governance & Cyber Security, PwC Sverige

Tel 0733-69 45 63

Följ oss i sociala medier

Required fields are marked with an asterisk(*)

By submitting your email address, you acknowledge that you have read the Privacy Statement and that you consent to our processing data in accordance with the Privacy Statement (including international transfers). If you change your mind at any time about wishing to receive the information from us, you can send us an email message using the Contact Us page.

Hide