DORA (Digital Operational Resilience Act) är det nya gemensamma EU-regelverket för effektiv och övergripande hantering av digitala risker i finansbranschen. Den nya strukturen flyttar fokus från att endast handla om företagens finansiella ställning till att även säkerställa hur väl de kan upprätthålla verksamheten och stå emot vid olika incidenter, cyberhot och it-problem. Med införandet av en enhetlig tillsynsmetod för alla relevanta sektorer i hela EU säkerställs både konvergens och harmonisering av tidigare praxis vad gäller cybersäkerhet och motståndskraft vid olika digitala incidenter.
"Att hantera och stå emot cyberhot och incidenter är i högsta grad en prioriterad ledningsfråga."
Kontakta oss gärna för diskussion och hjälp med DORA!
(2024-09-05) Finansinspektionen (FI) föreslår nya föreskrifter om incidentrapportering och informationsregister i linje med DORA-förordningen. Förslagen innebär tydligare reglering av rapporteringens genomförande samt uppdaterade tidpunkter för inlämning av uppgifter. Dessutom föreslås ändringar för att undvika dubbelreglering och säkerställa korrekta hänvisningar. De nya reglerna träder i kraft den 17 januari 2025.
Läs mer om föreskrifterna
"Det är inte bara banker och försäkringsbolag som omfattas av DORA. Reglerna gäller för alla finansiella företag, inklusive leverantörer av kritiska IKT-tjänster. "
*IKT = Information, Kommunikation, Teknik
DORA började gälla från och med början på 2023 och i januari 2025 ska finansiella företag efterleva det nya regelverket.
En flertal regulatoriska och tekniska standarder för implementering har definierats och utfärdats av de europeiska tillsynsmyndigheterna (EBA, EIOPA, ESMA). Dessa ger företagen specifikationer och vägledning för hur specifika DORA-krav skall implementeras.
DORA-kraven tillämpas 24 månader efter att regelverket börjar gälla. Det innebär att finansiella företag behöver efterleva DORA-kraven från och med januari 2025.
Finansiella företag måste ha ett heltäckande system för IKT-riskhantering, vilket omfattar att:
Finansiella företag är skyldiga att:
Förordningen kräver att alla företag:
Dessutom kräver förordningen att vissa företag:
Finansiella företag måste:
Vi ser DORA både som en utmaning och möjlighet för finansiella företag. Att DORA-reglerna är enhetliga för hela EU innebär att finansiella företag måste säkerställa att de kan hålla en konsekvent nivå vad gäller cybersäkerhet och operativ motståndskraft i alla sina EU-baserade verksamheter.
Med en tvåårig "förberedelseperiod" är det mycket som måste beaktas, implementeras och demonstreras. Startskottet har redan gått och finansiella företag genomför nu omfattande GAP-analyser för att utvärdera läget i förhållande till DORA. Det är till stor hjälp för att i tid identifiera eventuella områden som kräver ytterligare investeringar och prioritering.
Se till att ditt företag hamnar i ett bättre läge med möjligheter att möta olika krav på riskhantering, Threat Intelligence och penetrationstester. Det kommer att ge företaget konkurrensfördelar på en tuff marknad.
Vi ser att DORA innebär betydande förändringar för företag som lyder under tillsyn av ESMA eller EIOPA, men också för banker som sedan tidigare måste följa befintliga EBA-regler för banktillsyn. DORA omfattar också andra intressenter inom finanssektorn, som hittills inte varit föremål för omfattande IKT-säkerhetsreglering, till exempel tjänsteleverantörer av kryptotillgångar, mellanhänder som förvaltar alternativa investeringsfonder, leverantörer av crowdfundingtjänster, leverantörer av molntjänster och tredjepartsleverantörer av IKT-tjänster.
Nu krävs gemensamma ansträngningar och nära samarbete med tredjepartsleverantörer av verksamhetskritiska IKT-tjänster för att kunna visa att verksamheten är motståndskraftig vid cyberhot och andra incidenter.
Rapport: Kontroll över finansiella företags utlagda verksamhet
Riskhantering vid outsourcing: SOC-rapportering och tredjepartsintyg
Source-to-pay (S2P) är en affärsprocess som omfattar alla aktiviteter relaterade till upphandling av varor och tjänster, från att identifiera behovet av en produkt eller tjänst till att göra slutbetalningen till leverantören. Har du koll på regelverket DORA och säkra system för S2P?
Läs mer om digitalisering och effektivisering av inköpsprocessen
DORA: 10 utmaningar på vägen mot lyckad efterlevnad och compliance
Ta del av denna sammanställning som ger dig råd och tips för att ligga i fas med DORA-direktivet.
Läs mer om DORA: 10 key challenges
Med tanke på DORA:s omfattning är det troligt att flera områden redan ingår i olika förordningar som redan finns i Sverige. Andra delar som "Threat Intelligence" och penetrationstester är av ny karaktär och kräver därför mycket större fokus. Dessutom ökar pressen på ledningen att få en övergripande insyn och förståelse för företagets kritiska relationer med leverantörer av IKT-tjänster.
Vi på PwC Sverige rekommenderar alla finansiella företag att, oavsett hur långt du har kommit i arbetet med digitalt och operativt motstånd, använda DORA för att komma igång med säkerhetsarbetet och förbättra motståndskraften. En första GAP-analys är en bra utgångspunkt!
"DORA säkerställer att finansiella aktörer levererar konsekventa och säkra tjänster genom hela värdekedjan."