Harmonisering av hantering av IKT-säkerhet
Den digitala utvecklingen går snabbare än någonsin tidigare och därför står den finansiella sektorn inför en ny era av cybersäkerhetshot. För att tackla det växande hotet mot cybersäkerheten i sektorn har EU antagit Digital Operational Resilience Act (DORA), vilket är en omfattande ny förordning som kommer att förändra och harmonisera det sätt som finansiella enheter hanterar IKT-säkerhet. DORA trädde i kraft den 17:e januari 2023 och börjar tillämpas den 17:e januari 2025. För aktörer i den finansiella sektorn omfattar de mest intressanta delarna i DORA: IKT-riskhantering, incidenthantering och krav på stresstester. Utöver det tar DORA också fram nya tillsynsstandarder för tredjeparts IKT-tjänsteleverantörer där de europeiska tillsynsmyndigheterna kommer fylla rollerna som Lead Overseer, samt regler runt informationsdelning och behöriga myndigheter.
DORA är riktat till finansiella enheter, vilket berör merparten av bolagen verksamma i den finansiella sektorn, med syftet att harmonisera regelverken angående IKT-säkerhet inom EU. Förordningen omfattar fler aktörer än tidigare IKT-regelverk, som till exempel företag som hanterar kryptovalutor och molntjänster. Betaltjänstleverantörer, kreditinstitut och värdepappersföretag som idag omfattas av EBA:s nuvarande IKT riktlinje EBA/GL/2019/04, kommer att omfattas av DORA. Det innebär bland annat att det införs utförligare krav på IKT-riskhanteringsramverk samt striktare regler för tredjeparts IKT-tjänsteleverantörer. På samma sätt kommer försäkringsbolag och återförsäkringsbolag som idag omfattas av EIOPA:s nuvarande IKT riktlinje EIOPA-BoS-20/600 att omfattas av DORA. Det kommer bland annat påverka incidentrapporteringen och öka kraven på systemtester.
Förenklingar och undantag kommer ges för vissa mindre aktörer. De mindre aktörerna blir omfattade av ett förenklat regelverk, vilket är mindre krävande men som har ett liknande syfte. DORA rättfärdigar detta med proportionalitetsprincipen, vilken innebär att större och viktigare system kräver högre säkerhet.
Syftet med DORA
I breda drag är syftet med DORA att öka beredskapen för IKT-hot i den finansiella sektorn. Framför allt för att minska störningar i de mest kritiska finanssystemen och därmed säkerhetsställa deras kontinuitet och tillgänglighet. För att åstadkomma detta kräver DORA att finansiella enheter skapar noggranna kontinuitets- och krisplaner, tydligt delegerar ansvar inom organisationen och skapar klara kommunikationsvägar. Tredjepartsrisker tas också upp som viktiga riskfaktorer då både risken att blint förlita sig på externa kritiska system och risken för minskad transparens ökar.
Utöver detta inför DORA nya krav på hur system ska testas och hur ansvaret angående dessa tester ska fördelas. Extra viktigt är hotbildsstyrd penetrationstestning (TLPT) och hur de testerna genomförs. Eftersom TLPT enligt DORA måste genomföras på aktiva system kan testerna komma att påverka systemen, något som i sin tur kan komma att äventyra datasäkerheten och dataintegriteten, även för utomstående relaterade aktörer. Därför läggs stor vikt vid att dessa tester genomförs av certifierade och trovärdiga parter med skälig försiktighet med avseende på hur kritiska systemen är.
Tekniska standarder
Inför att DORA börjar tillämpas kommer det att publiceras flera tekniska standarder för att förtydliga vissa delar av DORA, se tabell nedan. Dessa kommer släppas i två omgångar. De tekniska standarderna i den första omgången ska vara slutförda och publicerade den 17:e januari 2024. Samrådsdokumenten av den andra omgången av tekniska standarder kommer att publiceras november eller december 2023 och ska vara slutförda och publicerade den 17:e juli 2024.
Omgång | Artikel | Offentligt samråd | Slutförs |
---|---|---|---|
Första omgången | 15, 16.3, 18.3, 28.9 och 28.10 | 2023-06-16 till 2023-09-11 | 2024-01-17 |
Andra omgången | 11.11, 20 a, 20 b, 26.11, 30.5, 32.7 och 41 | November eller december 2023 | 2024-07-17 |
Nästa steg
Beroende på vilket regelverk din organisation följt tidigare kan omställningsprocessen vara olika omfattande. Vi rekommenderar därför att man i god tid börjar förbereda sig för att uppfylla de nya kraven som DORA ställer på IKT-säkerhet. Om du har frågor angående den nya förordningen eller behöver hjälp med implementeringen, är du varmt välkommen att kontakta oss på NFC.