DORA, som står för Digital operativ motståndskraft för finanssektorn, är en EU-förordning som syftar till att stärka den digitala säkerheten och motståndskraften hos finansiella aktörer inom EU. Den antogs den 14 december 2022 och reglerar hur finansiella företag ska hantera risker som uppstår från informations- och kommunikationsteknik (IKT), inklusive cyberattacker och tekniska avbrott.

Kort sammanfattning:

DORA inför ett ramverk för att förbättra motståndskraften mot digitala hot och IKT-relaterade störningar inom den finansiella sektorn. Detta inkluderar tydliga krav på hantering av risker, rapportering av incidenter, och testning av digital motståndskraft. Syftet är att säkerställa att finansiella företag kan upprätthålla verksamheten även vid allvarliga cyberincidenter och tekniska problem, och att de snabbt kan återhämta sig efter dessa händelser.

Vilka berörs:

Förordningen omfattar en mängd olika finansiella enheter, bland annat:

• Kreditinstitut och banker
• Försäkringsbolag
• Betalningsinstitut och institut för elektroniska pengar
• Värdepappersföretag och marknadsinfrastrukturer
• Förvaltare av investeringar och pensionsinstitut

Även tredjepartsleverantörer av IKT-tjänster till dessa finansiella enheter, såsom molntjänstleverantörer, omfattas av reglerna.

Vad behöver man göra:

1. IKT-riskhantering: Finansiella enheter ska införa en omfattande ram för hantering av digitala risker. Detta innefattar att identifiera, förebygga och hantera risker samt ha en plan för att återställa driften efter störningar.
2. Incidentrapportering: Alla betydande IKT-relaterade incidenter ska rapporteras till tillsynsmyndigheterna enligt fastställda tidsramar och med enhetliga rapporteringsformat.
3. Digitala tester: Finansiella enheter måste regelbundet testa sina IKT-system för att säkerställa att de är tillräckligt robusta och motståndskraftiga mot cyberattacker och tekniska fel. Vissa större aktörer kan även behöva genomföra avancerade tester, såsom penetrationstester.
4. Övervakning av tredjepartsleverantörer: Finansiella aktörer ska säkerställa att de har tillräckliga rättigheter och mekanismer för att övervaka sina IKT-leverantörer, särskilt de som levererar kritiska tjänster.

Sanktioner:

Om en finansiell aktör bryter mot förordningen kan de drabbas av stränga sanktioner, inklusive höga böter. Tillsynsmyndigheterna kan även utföra inspektioner och kräva att åtgärder vidtas för att rätta till bristerna. Sanktioner kan även påverka tredjepartsleverantörer om deras tjänster inte uppfyller kraven i förordningen.

Viktiga kontakter:

Tillsynen över DORA hanteras av både nationella och EU-övergripande tillsynsmyndigheter, såsom:

• Europeiska bankmyndigheten (EBA)
• Europeiska försäkrings- och tjänstepensionsmyndigheten (EIOPA)
• Europeiska värdepappers- och marknadsmyndigheten (ESMA)

Dessa myndigheter har befogenheter att övervaka efterlevnaden av reglerna och ge vägledning till berörda aktörer.

Sammanfattning:

DORA syftar till att harmonisera och stärka hanteringen av digitala risker inom EUs finansiella sektor. Finansiella företag måste vara bättre rustade för att hantera cyberhot och tekniska störningar, och de måste följa strikta regler för rapportering, testning och övervakning av IKT-leverantörer. Detta för att skydda den finansiella stabiliteten och säkerställa att tjänster kan fortsätta levereras även i händelse av allvarliga incidenter.