Setterwalls Tech Regulatoriska Nyhetsserie – DORA

Vad: The Digital Operational Resilience Act (DORA) är en EU-förordning som syftar till att stärka finanssektorns motståndskraft mot cyberhot och driftstörningar.

Vem: DORA kommer att gälla för alla typer av finansiella institutioner, inklusive banker, värdepappersföretag och betaltjänstleverantörer. Intressant nog kommer även tredjepartsleverantörer av IKT att bli föremål för tillsyn.

När: DORA trädde i kraft den 16 januari 2023, vilket innebär att företag som berörs av DORA nu har fram till början av 2025 på sig att uppfylla kraven.

Att göra: Några av de nyckelåtgärder som företag som omfattas av DORA skulle behöva vidta inkluderar:

1. Genomföra regelbundna tester av IT-system: Finansiella institutioner kommer att behöva utföra regelbundna tester av sina IT-system för att säkerställa att de är motståndskraftiga mot cyberhot och andra driftstörningar. Testerna bör täcka alla kritiska system och bör simulera olika scenarier, inklusive cyberattacker och hårdvarufel.
2. Bedömning av cybersäkerhetsrisker: Finansiella institutioner kommer att behöva genomföra regelbundna cybersäkerhetsriskbedömningar för att identifiera potentiella hot mot deras IT-system och verksamhet. Bedömningarna bör täcka alla delar av företaget och bör uppdateras regelbundet för att spegla förändringar i hotbilden.
3. Genomförande av beredskapsplaner: Finansiella institutioner kommer att behöva ha beredskapsplaner på plats för att hantera potentiella driftstörningar, inklusive cyberattacker och andra IT-fel. Planerna bör innehålla rutiner för att reagera på incidenter, återställa verksamheten och kommunicera med kunder, tillsynsmyndigheter och andra intressenter.
4. Rapportering av cyberincidenter: Finansiella institutioner kommer att vara skyldiga att rapportera alla betydande cyberincidenter till sin nationella tillsynsmyndighet, inklusive arten och omfattningen av incidenten, de system och tjänster som påverkas och de åtgärder som vidtagits för att mildra effekterna.
5. Säkerställa motståndskraft från tredje part: Finansiella institutioner kommer att behöva se till att deras tredjepartstjänsteleverantörer, inklusive molnleverantörer och andra IT-leverantörer, också är utrustade för att hantera driftstörningar. Detta kan inkludera att utföra due diligence på sina tredjepartsleverantörer, förhandla om servicenivåavtal som anger krav på motståndskraft och regelbundet övervaka deras prestanda.
6. Att ha ett särskilt ramverk för IT- och cybersäkerhetsstyrning: Finansiella institutioner kommer att behöva upprätta och underhålla ett särskilt ramverk för IT- och cybersäkerhetsstyrning. Detta ramverk bör ge tydliga linjer för ansvar, tillsyn och ansvarsskyldighet för företagets IT- och cybersäkerhetsverksamhet, och säkerställa att lämpliga resurser allokeras för IT- och cybersäkerhetsfunktioner.

Verkställande: Monetära påföljder för finansinstitut har ännu inte fastställts. Medlemsstaterna kommer att fastställa ramar i sinom tid och DORA lämnar även dörren öppen för potentiellt brottsligt straffansvar för bristande efterlevnad.

Monetära straffavgifter för kritiska IKT-tjänsteleverantörer från tredje part kommer att vara upp till 1 % av deras genomsnittliga dagliga globala omsättning under det föregående räkenskapsåret, som tillämpas på daglig basis tills efterlevnad uppnås, under maximalt sex månader.

Gör en Setterwalls DORA Gap Analysis och ta reda på vad din organisation behöver göra för att vara compliant.