Mindre än sex månader kvar – Är ni redo?

Den 17 och 26 juli 2024 publicerade de europeiska tillsynsmyndigheterna (ESA) den andra omgången av slutliga regulatoriska tekniska standarder (RTS) och (ITS) som utgör vägledning, mallar och förtydligande av kraven som fastställs i DORA-förordningen. Med mindre än sex månader kvar tills den förväntade tillämpningsdagen måste finansiella enheter och tredjepartsleverantörer av IKT-tjänster genomföra en omfattande granskning och uppdatering av sina avtal samt styrdokument för att säkerställa tillräcklig regelefterlevnad. 

De gemensamma rapporterna omfattar:

• RTS 29 om hotledda penetrationstester.
• RTS och ITS 33 om tillsyn av innehållet i anmälan och rapportering av allvarliga incidenter och betydande cyberhot, samt fastställande av tidsfrister för rapportering av allvarliga incidenter.
• RTS 35 om harmonisering av villkor som gör det möjligt att bedriva tillsynsverksamhet.
• RTS 53 om underleverantörer
• RTS 54 om harmonisering av villkor som gör det möjligt att bedriva tillsynsverksamhet enligt artikel 41. 1. C DORA (JET).

Vidare omfattar även de gemensamma rapporterna riktlinjerna:

• RTS 34 om uppskattning av aggregerade årliga kostnader och förluster orsakande av större IKT-relaterade incidenter.
• RTS 36 för tillsyn och samarbete med tillsynsmyndigheter.

RTS om hotledda penetrationstester

I denna RTS anges kriterierna för att identifiera vilka finansiella enheter som måste utföra hotledda penetrationstester, kraven på interna testare (dvs. i det fall bolag inte utför testning via en extern aktör), testmetodiken och tillvägagångsättet för varje testfas i syfte att kunna identifiera sårbarheter inom finansiella enheter.

RTS om tillsyn av innehållet i anmälan och rapportering av allvarliga incidenter och betydande cyberhot

I denna RTS förtydligas rapporternas innehåll och viktiga tidsfrister för rapportering av större incidenter och cyberhot. I jämförelse med tidigare utkast omfattar den slutliga versionen viktiga förändringar i synnerhet vad gäller förlängning av tidsramar för rapportering och minskning av antalet rapporteringsfält). RTS:en innehåller även en ITS med färdiga mallar, standardformulär och procedurer för rapportering av större incidenter.

Proportionalitetsprincipen beaktas därutöver med anpassade krav beroende på storlek och riskprofil hos den finansiella enheten.

RTS om harmonisering av villkor som gör det möjligt att bedriva tillsynsverksamhet

I denna RTS anges information som efterfrågas i det fall en tredjepartsleverantör självmant ansöker om att bli utsedd som kritisk tredjepartsleverantör. Det tillkommer även krav på att tredjepartsleverantören ska tillhandahålla information som är nödvändig för att den ledande tillsynsmyndigheten ska kunna genomföra inspektioner, undersökningar och utfärda rekommendationer.

RTS om underleverantörer

I denna RTS anges detaljerade krav som måste införlivas i avtalsarrangemangen med IKT-tredjepartsleverantören av kritisk eller viktig funktion. Finansiella enheter måste genomföra en noggrann riskbedömning före ingående av avtal med en IKT-tredjepartsleverantör inklusive en due diligence. Det ställs även specifika krav (ansvarsområden, informationssäkerhet, rättigheter för inspektion och revision, övervakning samt exitstrategier) som måste inkluderas i avtalen med IKT-leverantörer. I synnerhet anges skyldigheten för leverantörer att informera om materiella förändringar i underleverantörskedjan i syfte att kunna säkerställa att tredjepartsleverantören fortsätter att ha det primära ansvaret för leveransen av tjänsterna, även när de utförs av underleverantörer.

RTS om harmonisering av villkor som gör det möjligt att bedriva tillsynsverksamhet enligt artikel 41. 1. C DORA (JET)

I denna RTS anges kriterier för sammansättningen av granskningsgruppen ”JET” som består av personal från ESAs, behöriga tillsynsmyndigheter som övervakar kritiska tredjepartsleverantörer av IKT-tjänster, nationella tillsynsmyndigheter som utsetts i enlighet med NIS2-direktivet och nationell tillsynsmyndighet som finns där den kritiske tredjepartsleverantörer har sitt säte. I RTS:en förtydligas även JET-gruppens ansvarsområden och vilken information som är nödvändig för att harmonisera villkoren för tillsyn, särskilt för att etablera en paneuropeisk tillsynsram för kritiska tredjepartsleverantörer.

Hur Periculo kan hjälpa er

Våra konsulter erbjuder expertis och stöd oavsett om ni behöver individuella lösningar eller mer omfattande motståndskraftprogram. Vi kan hjälpa er med att bland annat:

• Implementera en strategi för digital operativ motståndskraft
• Skapa och upprätthålla ett korrekt och detaljerat informationsregister på både enhets- och koncernnivå.
• Utveckla och granska avtal
• Säkerställa att alla avtal uppfyller de specifika krav som ställs av DORA, inklusive ansvarsfördelning och informationssäkerhet.
• Utvärdera och utveckla IKT-riskhanteringsramverket
• Utvärdera och utveckla ramverk för incidenthantering
• Utvärdera och utveckla ramverk för hantering av IKT-tredjepartsleverantörer
• Utvärdera och utveckla testprogram för digital operativ motståndskraft
• Ta fram utbildningsprogram
• Ta fram en metodik för att identifiera kritiska eller viktiga funktioner