Skip to content

    DORA-förordningen – Status och potentiella utmaningar

    DORA-förordningen, vars syfte är att bidra med en ökad digital operativ motståndskraft inom EU:s finanssektor, trädde i kraft den 16 januari 2023 och börjar gälla den 17 januari 2025. I det här blogginlägget beskrivs nuvarande status för regelverket samt vilka utmaningar DORA kan komma att medföra och hur dessa skulle kunna hanteras.


    Kort introduktion till DORA

    Den Europeiska Unionens ”Single Rulebook” tillkom år 2009 och reglerar EU:s finanssektor för att skapa en mer harmoniserad finansiell marknad. Behovet av mer harmoniserade regelverk upptäcktes inte minst efter finanskrisen åren innan 2009. Detta då många lagar tolkades på en nationell nivå vilket skapade legala osäkerheter och gap i riskhantering. Den europeiska bankmyndigheten (European Banking Authority, EBA) har sin roll i initiativet genom att myndigheten bland annat utgivit riktlinjer för hantering av IKT-risker och säkerhetsrisker. Dock upptäcktes fortsatta gap i hur dessa risker hanteras inom EU:s finanssektor vilket föranledde Europeiska Kommissionens förslag om DORA-förordningen. DORA ingår i EU:s större digitala finanspaket vars syfte är att främja den teknologiska utvecklingen genom utökad riskhantering och stöttning av innovation till följd av finanssektorns digitaliseringsprocess.

    DORA-förordningen, som står för Digital Operational Resilience Act, kommer vara bindande för samtliga medlemsländer. Syftet är att skapa en digital operativ motståndskraft för att stärka IT-säkerheten för finansiella enheter genom ett harmoniserat regelverk med minskad risk för misstolkningar. Mer om DORA-förordningens innehåll och innebörd kan ni läsa i vårt tidigare blogginlägg.


    Händelser efter kommissionens första förlag

    Sedan EU kommissionen framförde det första förslaget om DORA har ett antal steg tagits mot ikraftträdandet av regelverket. Den 10 maj 2022 nåddes en preliminär överenskommelse mellan Europeiska rådet och Europaparlamentet om att utföra vissa förändringar till förslaget. Den 23 juni 2022 offentliggjordes det uppdaterade förslaget och skickades till den Ständiga representanternas kommitté inom Europarådet.

    Sammantaget ska förändringarna leda till ett ännu mer robust ramverk som ökat IT-säkerheten ytterligare och där tillämpningen av DORAs proportionalitetsprincip förbättrats. Ett exempel på förbättring är att penetrationstestning ska utföras i ett så kallat ”funktionsläge” samtidigt som flera medlemsstaters myndigheter kommer kunna medverka tillsammans i testprocedurer. Dessutom tydliggjordes det att alla finansiella enheter ska ha ett etablerat kontrollramverk för en förtänksam hantering av IKT-risker. Därutöver bestämdes det att regelverket ska vara applicerbart på försäkringsförmedlare som inte betraktas som mikro, små- och medelstora bolag, men med undantag för företag som är särskilt kritiska för sektorn. Även små- och medelstora revisionsbyråer exkluderas från regelverkets omfång men med vissa undantag. Dessa kan dock komma att träffas av DORA vid en framtida revision eller uppdatering av regelverket.

    Nuvarande status

    Europaparlamentets utskott för ekonomi och valutafrågor röstade den 12 juli 2022 för det preliminära förslaget vilket innebar att DORA lades fram för omröstning hos Europaparlamentet. Den 10 november 2022 röstades förslaget för EU:s reglering av digital operativ motståndskraft för den finansiella sektorn (DORA) igenom för adoption. Parlamentets adoptering innebar att regelverket genomgick då en slutfas i den formella proceduren som består av ett antal nödvändiga teknikaliteter innan lagstiftning kan ske. Europarådet behövde formellt anta regelverket innan det kunde publiceras i EU:s officiella tidning.

    Den 28 november 2022 blev Europaparlamentets DORA-text godkänd av Europarådet. I enlighet med ordinarie administrativa procedurer blev förslaget formellt antaget den 14 december 2022 och publicerat av Europarådet i Europeiska unionens officiella tidning den 27 december 2022. DORA-förordningen trädde därefter i kraft den tjugonde dagen efter publicering, nämligen 16 januari 2023, och berörda finansiella entiteter har tjugofyra (24) månader på sig att efterleva kraven i DORA vilket är tills den 17 januari 2025 då förordningen börjar tillämpas.

    Ett tillägg, vid sidan om DORA, är att även NIS 2-direktivet publicerades den 27 december 2022 och trädde i kraft den 16 januari 2023. Gällande NIS 2 har medlemsstaterna 21 månader på sig att införliva direktivet i nationell lagstiftning vilket är tills den 17 oktober 2024. Eftersom båda regleringarna har vissa överlapp relaterat till bland annat riskhantering och rapporteringskrav så kommer finansiella entiteter få klara instruktioner genom DORA för vilka lagar som gäller deras opererande inom EU. DORA förväntas hantera dessa överlappningar och överskugga de mer generella föreskrifterna i NIS 2-direktivet. NIS 2-direktivet kommer därmed fortfarande vara applicerbart för träffade entiteter men DORA kommer att bygga på direktivet. Mer information och diskussion om NIS 2-direktivet hittar ni i dess bloggserie på vår blogg om cybersäkerhet & juridik.

     

    Möjliga utmaningar och lösningar

    De nyheter som DORA kommer med lär medföra en del utmaningar för alla finansiella entiteter som träffas av regelverket. Generella råd brukar vara att utföra en intern granskning inom det egna bolaget för att i ett tidigt skede veta hur man ligger till i relation till kraven som ställs i DORA för att enklare kunna implementera lagen, vilket även kräver ett sofistikerat förarbete som inkluderar en grundläggande uttolkning av regelverket.

    På Knowit har vi förberett oss på detta för att på smidigast sätt kunna stötta finansiella entiteter på resan. Vi har under våren dessutom gjort en småskalig undersökning för att ta reda på vad som kan vara utmanande för träffade bolag utifrån kraven DORA ställer. En undersökning som inkluderade finansiella enheter av olika typer och storlekar, alltifrån mindre stora till samhällskritiska, kunde ge en insikt i att följande uppgifter kan bli utmanande:

    • Definiera tydliga roller och ansvarigheter

    Det kan uppfattas som utmanande att i praktiken definiera tydliga roller som också ska vara tolkningsbara för att undvika missförstånd. Dessutom ska ansvarigheter inte endast vara dokumenterade utan även förståeliga och begripliga utan utrymme för misstolkning.

    • Fastställande av risktoleransnivåer

    Hotlandskapet inom cybersäkerhet genomgår en ständig förändring vilket utmynnar i stora mängder av information och följaktligen utmaningar i att sätta lämpliga risktoleransnivåer.

    • Testning av digital operativ resiliens

    DORA täcker ett brett spektrum av tester som träffade enheter förväntas utföra. Utmaningen ligger i att bedöma vilka av dessa tester är relevanta för ett specifikt bolag att utföra och inte att de utförs enbart för sakens skull.

    • Monitorering av tredjepartsleverantörer

    Beroendet av tredjepartsleverantörer växer alltmer i det digitaliserade samhället. Det blir dock en utmaning då finansiella entiteter krävs på att säkerställa att även leverantörernas leverantörer uppfyller relevanta säkerhetskrav i flera led av den digitala leveranskedjan.

     

    Hur kan man då tackla och hantera dessa utmaningar? Till att börja med vill vi förtydliga att de ovan nämnda utmaningarna inte är nödvändigtvis tillämpbara på alla finansiella enheter. De syftar till att ge en bredare insikt i vad som skulle kunna vara möjliga svårigheter för att informera berörda enheter och ge insikt om en föreslagen utgångspunkt för beaktande. På liknande sätt föreslår vi nedan hanteringsåtgärder som ett sätt att påbörja sitt förarbete inför efterlevnaden av DORA.

    Vi tror på att utmaningarna kräver ett initialt arbete som bygger på ett systematiskt sätt att arbeta med informationssäkerhet och innebär att en fundamental grund skapas. Därmed är ett möjligt angreppssätt att:

    1. Identifiera och skapa en inventering av samtliga kritiska processer och tillgångar

    2. Bedöma värdet på de kritiska processerna och tillgångarna

    3. Bedöma potentiella hoten mot de kritiska tillgångarna och processerna (genom definiering av hotscenarier)

    4. Kvantifiera riskerna i relation till identifierade hotscenarierna

    5. Implementera säkerhetsåtgärder för att hantera de identifierade hotscenarierna och relaterade riskerna

    6. Testa de implementerade säkerhetsåtgärderna för att försäkra dess effektivitet

     

    Genom detta tillvägagångssätt, där en grundläggande inventering av kritiska processer och tillgångar utförs och man identifierar vad som finns på bolaget, förenklas arbetet med att definiera roller och ansvarsområden. Dessutom blir det enklare att veta vad och hur något ska testas samt att kartläggningen av utkontrakterade tjänster till tredjepartsleverantörer förtydligas och arbetet med fastställandet av risktoleransnivåer klargörs.


    Knowits erbjudande

    Som känt erbjuder vi på Knowit kvalificerade lösningar genom vår expertis inom teknik, management och juridik för att på enklast sätt stötta berörda entiteter att efterleva DORA. Förutom att vi har insikt i vad regelverket innebär så hjälper vi till med att stötta er för att tillsammans ta oss igenom resan från att bedöma specifika behov till att nå målen med en skräddarsydd plan, men också upprätthålla ett kontinuerligt operativt arbete vid efterlevnad. Detta i enlighet med DORAs prinicip om att bibehålla ett ständigt övervakande och riskhanterande arbete kring nya och befintliga cyberhot just för att uppnå digital operativ resiliens. Tveka därför inte att höra av er till oss vid eventuella frågor och funderingar.

    Om författaren