DORA-förordningen

DORA-förordningen (Digital Operational Resilience Act EU 2022/2554)

Om DORA

Banker, försäkringsbolag och andra finansiella företag är idag beroende av informations- och kommunikationsteknologi (IKT) för att kunna bedriva sin dagliga verksamhet. Som en konsekvens av digitaliseringen och det starka teknikberoendet som har uppstått är cyberhot och cyberrisker några av de mest aktuella och framväxande operativa riskerna som finansiella företag är exponerade för. Mot bakgrund av detta och de omfattande konsekvenser som ett cyberintrång skulle kunna få för dels det enskilda företaget, dels det finansiella systemet som helhet har Europaparlamentet beslutat om en ny förordning. Förordningen syftar till att stärka finansiella företag och IKT-leverantörers digitala operationella motståndskraft mot cyberattacker och incidenter.

När träder den ikraft?

DORA-förordningen (Digital Operational Resilience Act EU 2022/2554) ska efterlevas fullt ut den 17 januari 2025. DORA-förordningen harmoniserar regler relaterade till operationell motståndskraft i den finansiella sektorn och gäller för 21 olika typer av finansiella institut. DORA-förordningen omfattar områden så som IKT-riskhantering, IKT-incidenthantering och rapportering, testning av IKT-systems operationella motståndskraft och hantering av tredjepartsrisker avseende IKT.

Vilka krav ställs?

DORA-förordningens krav på utformningen av ett IKT-riskhanteringsramverk påminner i stora delar om NIST-ramverket och har en hög detaljeringsnivå. Förordningen medför stor påverkan på de flesta finansiella företag, även de som sedan tidigare implementerat EBA och EIOPA:s riktlinjer för IKT. Förordningen innehåller utökade krav avseende de finansiella företagens riskhanteringssystem, företagsstyrningssystem, avtalshantering och leverantörsuppföljning. Huvuddelen av de berörda företagen kommer även att behöva inrätta en särskild kontrollfunktion för hantering och uppföljning av IKT-risk. Förordningen medger vissa lättnader för s.k. mikroföretag, men de flesta företag som träffas kommer att behöva efterleva regelverket fullt ut, med viss anpassning med beaktande av den proportionalitetsprincip som framgår av regelverket.

Om Periculo:

Periculo har stor erfarenhet av arbete med informationssäkerhet, riskhantering och regelefterlevnad samt har genom åren assisterat företag av olika storlek med regelverksimplementeringar. Vi har flera experter på DORA-förordningen och av föregående regelverk på området. Kontakta oss gärna på info@periculo.se med eventuella frågor för stöd av våra experter, eller se vårt utbud av utbildningar HÄR