DORA förordningen – nyckeln till att stärka den digitala motståndskraften inom finansbranschen
Genom att efterleva förordningen Digital Operational Resilience Act (DORA) kan företag inom finansbranschen mitigera de digitala riskter som de ställs inför. BDO guidar kring det nya regelverket och ger konkreta tips på hur ni integrerar nyckelaspekter i styrningen, processer och rutiner.
Den Europeiska unionen har formellt antagit rättsakten om digital operativ motståndskraft (DORA), en förordning som införts för att säkerställa att digital infrastruktur, inklusive de system och nätverk som ligger till grund för kritiska tjänster inom finanssektorn, är säker och motståndskraftig mot potentiella hot. Förslaget är uppbyggt kring flera viktiga politikområden som utgör centrala ömsesidigt samverkande pelare och som genom överenskommelser har inkluderats i europeiska och internationella riktlinjer och best practise som syftar till att förbättra finanssektorns cybersäkerhet och operativa motståndskraft.
Digital operativ motståndskraft handlar om ett finansiellt företags förmåga att säkra och övervaka sin tekniska integritet. Det innebär att man, direkt eller indirekt genom användning av leverantörer inom informations- och kommunikationsteknik (IKT), säkerställer att alla digitala verktyg som används för att tillhandahålla finansiella tjänster fungerar smidigt och håller en hög kvalitet.
I korthet – viktigt innehåll i DORA
DORA är uppbyggt kring fem huvudområden:
- Krav på IKT-riskhantering (artiklarna 5-16)
- IKT-relaterad incidenthantering, klassificering och rapportering (artiklarna 17-23)
- Testning av digital operativ motståndskraft (artiklarna 24-27)
- Hantering av IKT-tredjepartsrisker (artiklarna 28-44)
- Informationsutbyte (artikel 45)
Här är bolagen som berörs av regelverket
DORA tillämpas på licensierade finansiella institutioner, såsom banker, försäkringsbolag, investeringsfirmor, börser, fintech-företag, med flera samt tredjepartsleverantörer av IKT-tjänster såsom molntjänster, datacenter, dataanalys och programvara. Implementationen av DORA-regelverket måste vara på plats i slutet av 2024.
Vilka som ansvarar för att följa förordningen
Det övergripande ansvaret för att följa ramverket och andra styrningsskyldigheter som DORA-förordningen medför vilar på högsta ledningen. Ansvaret innefattar att granska, godkänna, implementera och uppdatera ramverket för riskhanteringen. För att kunna uppfylla ansvaret krävs det fullständig medvetenhet om och förståelse för användning av IKT-tekniken, de IKT-tjänster som medföljer, och företagets riskprofil. Det är även fördelaktigt att granska hur väl rapporteringen till den högsta ledningen fungerar i praktiken.
De finansinstitut som omfattas av DORA-förordningen är skyldiga att utse en ledande befattningshavare med ansvar för digital operativ motståndskraft (DORA) samt rapportera incidenter till lämpliga myndigheter. Därför är det också viktigt att säkerställa att en väldefinierad och ansvarsfull struktur finns på plats för att hantera IKT-relaterade risker och säkerhetsincidenter.
DORA förändrar relationen mellan teknikleverantörer och företagen inom den finansiella sektorn genom att kräva ett ökat samarbete för att gemensamt uppfylla de regulatoriska kraven för sin strävan mot efterlevnad av DORA. Det är därför viktigt att använda sig av kvalificerade leverantörer i övergången till det nya regelverket. Är inte detta på plats kan man behöva söka alternativa IKT-leverantörer.
Viktiga datum att hålla koll på
Trots att 2024 kan verka avlägset, kan efterlevnaden av att uppfylla DORA-förordningens krav vara en utmanande och tidskrävande process för berörda organisationer. Efterlevnad av DORA-förordningen kommer att säkerställas av enhetens behöriga myndighet, och medlemsstaterna inom EU har rätt att införa påföljder för åsidosättande av skyldigheter. Trots att DORA-förordningen tillåter en övergångsperiod fram till den 17:e Januari 2025, rekommenderas organisationer som omfattas att starta förberedelserna omedelbart.
För att uppnå efterlevnad av DORA-förordningen rekommenderar vi att organisationer antar en stegvis strategi, där enheterna inom tillämpningsområdet kartlägger ett DORA-efterlevnadsprogram i syfte att uppnå kraven i slutet av övergångsperioden. Underlåtenhet att uppnå efterlevnad kan resultera i allvarliga böter från och med januari 2025 och framåt.
Optimera din efterlevnad med BDO:s expertis
Genom att implementera DORA:s riktlinjer och principer kan företag skapa en mer robust, säker och framåtriktad digital infrastruktur. Detta i sin tur främjar och accelererar den övergripande digitala transformationen för företagen.
Att uppfylla de krävande skyldigheterna enligt DORA inom den fastställda tidsramen kommer att vara både utmanande och tidskrävande. Även om DORA tillåter en övergångsperiod, fram till den 17:e januari 2025, rekommenderar vi starkt att organisationer som omfattas startar förberedelserna omedelbart för att mitigera riskerna för förseningar eller bristande efterlevnad.
BDO rekommenderar en stegvis strategi där de berörda enheterna kartlägger en DORA-efterlevnadsplan för att uppnå fullständig överensstämmelse med DORA:s bestämmelser före slutet av övergångsperioden. Genom att tidigt vidta åtgärder minimeras risken för böter i händelse av att efterlevnad inte uppnåtts.
Vi rekommenderar följande åtgärdspunkter:
- Utföra en mognadsbedömning mot DORA-kraven, med tillhörande GAP-analys och begränsningsplan för att uppnå efterlevnad i slutet av 2024
- Konsolidera informationsregistret för alla IKT-tredjepartsleverantörer
- Utveckla och implementera incidenthanterings- och kontinuitetsplaner för att säkerställa att organisationen kan reagera effektiv på en större incident
- Påbörja scenarioplanering för ett storskaligt penetrationstest
- Genomföra regelbundna riskbedömningar för att identifiera potentiella hot och sårbarheter
- Testa regelbundet incidenthanterings- och kontinuitetsplanerna
- Upprätta robust styrning och tillsyn för att säkerställa att DORA-kraven uppfylls och att organisationens digitala infrastruktur är säker och motståndskraftig.