DORA – ett nytt fönster öppnas för styrning av digitala risker
Nedan kommer jag att besvara de vanligaste frågorna vi får om den nya EU-förordningen som är på gång gällande cybersäkerhet och cyberresiliens inom finanssektorn.
Vad är DORA?
Ordet “dora” kommer ursprungligen från Grekland, där jag spenderat stora delar av mitt liv, och det betyder “gåvor”. Det är EU-kommissionen som i september 2020 begåvade oss med idén till den nya förordningen “Digital Operational Resilience Act”, vilken på svenska heter “Förordning om digital operativ motståndskraft”.
Förordningen är en del av att större arbete som pågår inom EU gällande digitalisering av finanssektorn, där fokus är att främja innovation och konkurrens och samtidigt minska de risker som uppkommer som ett resultat av digitaliseringen.
DORA innehåller krav för finanssektorn som – om de efterlevs – kan leda till att tjänster som finanssektorns aktörer levererar blir mer motståndskraftiga vad avser digitala risker och hot.
Vad är syftet med DORA?
Cyberrisker är idag ansett som det största hotet mot den finansiella sektorn och följaktligen syftar den här förordningen till att förebygga och minska cyberhot. Genom sina bestämmelser om
-
styrning och hantering av risker,
-
incidentrapportering,
-
testning,
-
hantering av IKT-tredjepartsrisker och
-
informationsutbyte,
skapas ett regelverk på EU-nivå där alla företag som omfattas ska förstärka sin motståndskraft mot IKT-risker och hot. Ett mål är att de företag som omfattas ska kunna säkerställa kontinuitet i sina tjänster även under störningar eller en pågående cyberattack.
“IKT” är ett begrepp som ofta förekommer i EU-kretsar och det betyder helt enkelt Informationsteknik (IT) men även med ett uttalat fokus på kommunikationsteknik (K), så som datanätverk, Internet, mobil kommunikation, etc.
Med begreppet “digital operativ motståndskraft” avses, enligt förordningens definition ”en finansiell enhets förmåga att bygga upp, säkerställa och se över sin operativa integritet ur ett tekniskt perspektiv genom att, direkt eller indirekt, med användning av tjänster från IKT-tredjepartsleverantörer, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell enhet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet.”
Något förenklat kan man säga att förordningen kommer att ersätta stora delar av tidigare rättslig reglering och bindande riktlinjer inom området cybersäkerhet och cyberresiliens i finanssektorn med en enda ny genomarbetad förordning.
Vem måste efterleva DORA?
Förordningen är tillämplig för aktörer verksamma inom finanssektorn i ganska vid bemärkelse och innefattar de som tillhandahåller
-
bank- och finansieringstjänster,
-
försäkringstjänster,
-
förvaltningstjänster,
-
värdepappershandel,
-
revisorer (rätt så oväntat!)
-
leverantörer av kryptotjänster (kryptobörser, betalningssystem, digitala plånböcker, NFT-leverantörer, etc.), samt
-
tredjepartsleverantörer för IKT-tjänster (som de stora molntjänsteleverantörerna)
Exakt hur omfattande arbetet med det nya regelverket blir för en given aktör anpassas något genom att tillämpa en proportionalitetsprincip. Det innebär att även om reglerna i förordningen gäller samtliga aktuella aktörer så kan de utformas, införas och efterlevas med hänsyn tagen till aktörens storlek, typ, behov och risknivå.
Det är en del diskussion om vilken “tröskel” man ska ha gällande mindre aktörer som ju kan ha svårt att efterleva ett så omfattande regelverk det är fråga om. Just nu är inriktningen att vissa av kraven inte gäller för aktörer som har färre än 10 anställda och vars omsättning eller balansomslutning inte överstiger 2 miljoner euro per år.
Vad är status just nu?
Dokumentet har kommit rätt långt i processen, och nu är det fråga om ett “Förslag” vilket kommer att förhandlas vidare av Europarådet och EU-parlamentet de kommande månaderna (under 2022).
Precis som var fallet med dataskyddsförordningen GDPR kommer det att finnas en övergångsperiod under vilken aktörerna förbereder sig för full efterlevnad, denna kommer att vara upp till 24 månader, så det gäller att inleda sina förberedelser redan nu med en analys som besvarar frågorna:
-
Var står vi idag i relation till kraven i DORA?
-
Vilka insatser kommer att krävas av oss för att nå efterlevnad till de nya kraven?
Vilka myndigheter kommer att utöva tillsyn i Sverige?
Förslaget om DORA kommer inte att innebära några lagstiftningsåtgärder i svensk rätt då det kommer att gälla i Sverige automatiskt. Behörig myndighet i Sverige som kan utföra tillsyn är Finansinspektionen vad gäller finansiella aktörer, Revisorinspektionen när det gäller revisorer och revisionsbolag (ifall det verkligen blir kvar i förslaget att det ska omfatta dem?) samt Riksbanken avseende en viss typ av IT-säkerhetstekniska så kallade penetrationstester.
Har DORA sanktionsavgifter eller böter som GDPR?
Ja. Storleken på sanktionsavgiften kommer att bero på hur allvarlig avvikelsen är, men förordningen anger att ”sanktioner och åtgärder ska vara effektiva, proportionella och avskräckande”. Man kan möjligen förvänta sig att sanktionsavgifterna blir i paritet med det som gäller för GDPR – alltså riktigt kännbara.
När det gäller så kallade IKT-tredjepartsleverantörer (som de stora molntjänsteleverantörerna) finns möjlighet utdöma vite vilket i förekommande fall ska uppgå till 1% av globala årsomsättningen per DAG till dess att avvikelsen är löst. Förutom att ett sådant vite på bara ett par veckor skulle äta upp en hel årsvinst för många aktörer, så får de även skämmas. Alla utdömda viten ska nämligen offentliggöras på tillsynsmyndighetens hemsida.
Vilka krav ställer förordningen på mig som aktör i finansbranschen?
De krav som DORA ställer på finanssektorn och tredjepartsleverantörer av IKT-tjänster är uppdelade i fem avsnitt.
1. IKT Riskhantering
Den här bestämmelsen innehåller två huvudpunkter; a) ledningens ansvar gällande hantering av IKT-risker och b) framtagning och införande av ett dokumenterat IKT-riskramverk.
IKT-riskramverket ska innehålla system, strategier, riktlinjer, förfaranden, protokoll och verktyg som är nödvändiga för att på ett effektivt sätt skydda alla relevanta fysiska och infrastrukturella komponenter. Ramverket och dess funktion ska också granskas varje år eller vid uppkomsten av en större IKT-incident.
Finansiella enheter ska enligt DORA kunna:
-
identifiera och klassificera IKT-funktioner
-
detektera, skydda och förebygga mot angrepp och misstag
-
ta fram kontinuitets- och återhämtningsplaner
-
tillgång till backup och metoder för att återställa information
-
uppföljning och rapportering av IKT-incidenter
Rent generellt finns det en relativt detaljerad idé i förordningen om vilka dokument som ska finnas, vem som ska göra vad och när, vilka analyser som ska genomföras och hur arbetet ska fokuseras. Om man har tur sammanfaller detta till stora delar med hur man har det organiserat idag. Om man har otur kan det bli en hel det som behöver organiseras om.
2. Hantering, rapportering och klassificering av IKT-incidenter
Finansiella enheter ska skapa och genomföra en process för att upptäcka, hantera och notifiera om IKT- incidenter samt att övervaka, logga och klassificera desamma.
Det finns även krav på att lämna in rapporter om större IKT-incidenter till en EU-hub i tre olika faser:
-
En första anmälan utan dröjsmål
-
En delrapport efter en vecka och
-
En slutrapport när analysen av grundorsakerna har avslutats.
Om användarnas ekonomiska intressen påverkas av incidenten ska även de informeras.
3. Testning av digital operativ motståndskraft
IKT-riskramverket och dess funktion ska testas regelbundet för att identifiera sårbarheter, brister eller luckor för att vidare snabbt implementera de åtgärder som krävs. Testet ska utföras varje år av en självständig part. Kraven för testning av digital operativ motståndskraft är proportionerlig med enhetens storlek, verksamhet och riskprofil. Just testerna är en central del för att åstadkomma riktig motståndskraft mot cyberangrepp – det vi kallar för cyberresiliens. Tanken är att utgå från att en angrepp kan komma att ske och tillse att verkamheten kommer att kunna bedrivas i kontinuitet ändå.
4. Principer för hantering av IKT-tredjepartsrisker
DORA ställer krav på övervakning och hantering av risker som är relaterade till IKT-tredjepartsleverantörer, som molntjänsteleverantörer, samt vad själva avtalet med IKT-tredjepartsleverantörerna ska innehålla.
Samtliga tredjepartsleverantörer av kritiska IKT-tjänster måste registreras i en förteckning som upprättas av de europeiska tillsynsmyndigheterna för att möjliggöra övervakning på EU-nivå.
Finansiella enheter får endast anlita tredjepartsleverantörer från den här förteckningen avseende kritiska IKT-tjänster.
Det här kan bli spännande. Stora internationella leverantörer av IKT-tjänster kommer alltså att stå under granskning av EU-myndigheter! Tanken är att förenkla så att inte varje finansiell aktör eller varje medlemslands tillsynsmyndighet behöver genomföra granskningar. Nu sker det istället centralt på EU-nivå.
5. Informationsutbyte
Syftet med den sista avsnittet är att skapa ett gemensam forum där finansiella enheter kan utbyta information om it-hot för att minimera IKT-risker och förstärka försvarsförmågan.
Vi har nu på Knowit två studenter som skriver sin uppsats just om DORA i samarbete med Resurs Bank. Deras arbete fokuserar på att forska i hur finansiella entiteter kan efterleva regelverket samt vilka utmaningar de kan ställas inför. Slutsatsen kommer ni att kunna läsa i ett senare inlägg.
Här kan du ladda ned DORA-förslaget och själv se hur kraven är utformade: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020PC0595
Eda Alia
Informationssäkerhetskonsult, Cybersecurity & Law, Knowit