Digital Operational Resilience Act (DORA) är det nya EU-regelverket som ska säkerställa att finansiella företag kan hantera och stå emot digitala incidenter som cyberhot och IT-problem. Det innebär en stor förändring för över 22 000 finansiella företag och leverantörer av verksamhetskritiska digitala tjänster, så kallade IKT-tjänster, (Information, Kommunikation, Teknik) inom EU.
Det här behöver du veta om DORA
Mest läst i kategorin
I den här artikeln sammanfattar vi fem viktiga områden som alla finansiella bolag behöver känna till och implementera för att efterleva DORA.
1. Ha ett heltäckande system för riskhantering
Finansiella företag måste ha ett heltäckande system för att hantera IKT-risker. Det omfattar bland annat att ha motståndskraftiga system och verktyg, dokumentera alla verksamhetskritiska funktioner och dess beroenden av IKT-tillgångar och ta fram en strategi för att övervaka och hantera IKT-risker.
Senaste nytt
2. Rapportera IT-relaterade incidenter
Finansiella företag kommer vara skyldiga att ha processer för IKT-relaterade incidenter, ta fram rapporter om IKT-incidenter och anpassa rapporteringen till de nya incidentkraven som följer av DORA samt rapportera dessa till Finansinspektionen.
3. Testa verksamhetens digitala sårbarhet och motståndskraft
Förordningen kräver att alla påverkade företag årligen utför grundläggande tester av IT-system och i vissa fall utför avancerade penetrationstester (TLPT) för digitala tjänster som påverkar verksamhetskritiska funktioner. Tredjepartsleverantörer av dessa kritiska IKT-tjänster måste delta och fullt ut samarbeta i testaktiviteterna.
4. Riskhantering av tredjepartsleverantörer
Finansiella företag måste säkerställa kontroll av risker som uppstår i samband med IKT-tjänster från tredjepartsleverantörer. Det innebär bland annat att rapportera samtliga väsentliga IKT-leverantörer och alla förändringar som uppstår gällande kritiska IKT-tjänster från tredjepart. Bolagen måste även ta hänsyn till IT-risker som kan uppstå vid anlitande av underleverantörer och se till att avtal med tredjepartsleverantören följer de utökade kraven enligt DORA.
5. Dela information med branschen
Regelverket uppmanar finansiella företag att sinsemellan organisera utbyte av information om cyberhot, tillsynsmyndigheten tillhandahåller relevant anonym information om cyberhot mot finansiella företag. Därför bör företag implementera processer för att kontrollera och agera på informationen från myndigheterna.
Med omfattande regelverk följer vissa utmaningar
DORA innebär en betydande förändring för finansbranschen inom EU. Genom att säkerställa att finansiella företag kan hantera digitala risker och incidenter, ökar förtroendet för branschen och en tryggare marknad skapas. Med noggranna förberedelser och anpassningar kan företag inte bara uppfylla de nya kraven utan också dra nytta av förbättrad säkerhet. Regelverket, som trädde i kraft den 16 januari 2023, kommer att bli fullt gällande från den 17 januari 2025.
Trots fördelarna med DORA följer vissa utmaningar med ett så omfattande regelverk.
Detta är en artikel publicerad på uppdrag av en sponsor. Innehållet i dessa artiklar reflekterar inte Dagens PS eller redaktionens åsikter.
Detta är en artikel publicerad på uppdrag av en sponsor. Innehållet i dessa artiklar reflekterar inte Dagens PS eller redaktionens åsikter.