Lägesbild inför tillämpningen av DORA den 17 januari 2025

Stärkt beredskap mot IKT-hot i den finansiella sektorn

Den 17:e januari 2025 ska Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn (DORA) börja tillämpas vilket kommer påverka majoriteten av bolagen i den finansiella sektorn. Idag omfattas betaltjänstleverantörer, kreditinstitut och värdepappersbolag av EBA:s IKT-riktlinje EBA/GL/2019/04 medan försäkringsbolag och återförsäkringsbolag omfattas av EIOPA:s IKT-riktlinje EIOPA-BoS-20/600. Med DORA förenas regelverken kring IKT-säkerhet, och i och med detta kommer även aktörer vars verksamhet tidigare inte täckts av regelverken (ex. företag som hanterar kryptovalutor och molntjänster) följa DORA.

Tidslinje över DORA-implementationen

DORA syftar övergripande till att stärka beredskapen mot IKT-hot i den finansiella sektorn, med fokus på att minimera störningar i de mest kritiska finanssystemen och säkerställa deras kontinuitet och tillgänglighet. För att uppnå detta kräver DORA att finansiella bolag utvecklar noggrant utformade kontinuitets- och krisplaner, tydligt fördelar ansvarsområden inom organisationen samt etablerar tydliga kommunikationsvägar. Dessutom lyfter DORA fram vikten av att hantera tredjepartsrisker, särskilt när det gäller risken med att förlita sig på externa system och den potentiella bristen på transparens.

Publicerade ITS:er, RTS:er och riktlinjer

I tabellen nedan listas de publicerade ITS:er, RTS:er och riktlinjer som kompletterar DORA. Ett antal av dessa är färdiga och redan publicerade i EUT, medan resterande antingen väntar på översättning till andra EU-språk eller väntar på att bli godkända från europeiska kommissionen. Oavsett status går det att ta del av nuvarande versioner och planera för hur er verksamhet ska kunna agera i linje med de nya reglerna.

Artikel i DORAInnehållStatus
Art. 28.9ITS för att etablera mallar för informationsregisterAntagen av EBA och inlämnad till Europeiska kommissionen
Art. 15 & 16RTS som specificerar verktyg, metoder, processer och strategier för IKT-riskhantering och den förenklade IKT-riskhanteringsramenPublicerad i EUT
Art. 18.3RTS om klassifikationskriterier för stora IKT-relaterade incidenterPublicerad i EUT
Art. 28(10)RTS som specificerar det detaljerade innehållet i riktlinjerna för kontraktsmässiga arrangemang om användning av IKT-tjänster som stödjer kritiska eller viktiga funktioner och som tillhandahålls av tredjepartsleverantörer av IKT-tjänsterPublicerad i EUT
Art. 11.11Riktlinjer om estimerande av aggregerade årliga kostnader och förluster orsakade av stora IKT-relaterade incidenterSlutgiltig version och väntar på översättning till EU-språk
Art. 32.7Riktlinjer om samarbetet mellan ESAs och lokala tillsynsmyndigheter för tillsyn.Slutgiltig version och väntar på översättning till EU-språk
Art. 20.aRTS för att specificera innehållet och rapporteringstidslinjen för stora IKT-relaterade incidenterAntagen av EBA och inlämnad till Europeiska kommissionen
Art. 20.bITS för att etablera formulär, mallar och procedurer för rapportering av stora IKT-relaterade incidenterAntagen av EBA och inlämnad till Europeiska kommissionen
Art. 26.11RTS för mer detaljerad hotbildsledd penetrationstestningAntagen av EBA och inlämnad till Europeiska kommissionen
Art. 30.5RTS för detaljerad information om utkontrakterade kritiska eller viktiga funktionerAntagen av EBA och inlämnad till Europeiska kommissionen
Art. 41RTS för mer detaljerad information angående tillsyn som utförsAntagen av EBA och inlämnad till Europeiska kommissionen

Nästa steg

Med tanke på att DORA snart träder i kraft är det nu hög tid att utreda hur er verksamhet kan påverkas. Vi på NFC kan stödja er i frågor om hur introduktionen av DORA påverkar er verksamhet och vilka förändringar ni behöver göra för att uppfylla de nya kraven. Kontakta oss nedan för att höra mer!

Dela inlägget:
Rulla till toppen