DORA – Operationell motståndskraft för hela finansbranschen
- Nyheter
Harmoniserade och skärpta regler för hela finansbranschen
DORA, Digital Operational Resilience Act (digital operativ motståndskraft), är ett nytt regelverk för hela finanssektorn som syftar till att harmonisera befintlig nationell- och EU lagstiftning inom IT- och cybersäkerhetsområdet. I januari 2025 träder förordningen i kraft för alla medlemsstater och då måste samtliga finansiella aktörer utom sk. mikroentreprenörer följa DORA.
Att DORA är harmoniserande innebär, sannolikt till mångas glädje, att DORA ska lätta den administrativa bördan som idag innebär mångdubbel rapporteringsskyldighet för vissa finansiella aktörer. DORA är nämligen lex specialis gentemot NIS 2-direktivet. Detta innebär att när DORA och NIS 2 täcker samma ämne, kommer organisationer som omfattas av båda behöva titta på bestämmelserna i DORA snarare än i NIS 2. Det är viktigt att notera att DORA inte upphäver krav och riktlinjer kring leverantörer i enligt befintlig EU-lagstiftning som CRD, MiFID II och Solvens II. Istället förtydligar den och kompletterar de existerande kraven för att skapa tydlighet kring leverantörsrelationer.
Vad gäller förhållandet till PSD2, kommer kravet på incidentrapportering att upphöra. I stället förväntas betaltjänstleverantörer rapportera alla operativa eller säkerhetsrelaterade incidenter kopplat till betalningar under DORA, oavsett om dessa incidenter är IKT-relaterade eller ej. Värt att notera är att DORA inte befriar finansiella enheter från samtliga skyldigheter att rapportera incidenter, så som kravet på att anmäla personuppgiftsintrång enligt GDPR.
Hur kan ni förbereda er för DORA?
Efter antagandet och offentliggörandet av DORA i slutet av 2022 har ESA, EU:s tre gemensamma tillsynsmyndigheter på det finansiella området, aktivt börjat utveckla regeltekniska standarder, sk. Regulatory Technical Standards (RTS). Dessa standarder syftar till att fördjupa förståelsen och ge detaljer kring specifika områden i DORA, samt fastställa användningen av vissa standarder eller format. Ett konkret exempel är klassificeringen av incidenter enligt DORA Art. 18, vilket tydligt specificeras i en av de RTS som planeras att släppas i den första omgången i januari 2024. Dessa standarder är för närvarande ute på remiss och har varit tillgängliga i preliminär form sedan juni, medan den andra omgången förväntas publiceras i november/december.
Kraven som DORA ställer på finansiella aktörer börjar successivt klarna, och detta skapar goda förutsättningar för att identifiera vilka gap som finns redan idag. Vi rekommenderar våra kunder att redan nu påbörja gapanalysen för att bedöma om det krävs organisationsförändringar för att uppfylla kraven i DORA.
En noterbar skillnad från tidigare riktlinjer från ESA är att IKT-risker måste vara en ledningsfråga enligt DORA. Detta kan kan kräva att personer med goda IT-kunskaper ska finnas med i ledningen. Ledningens ansvar är detsamma oavsett bolagets storlek trots att DORA, likt andra regelverk, innehåller en proportionalitetsprincip som innebär mildare krav för mindre aktörer. Däremot framgår det exempelvis av utkastet RTS till Art. 15 att finansiella aktörer enligt denna princip kan anpassa sitt ramverk för IKT-riskhantering efter storlek, riskprofil och komplexiteten i deras tjänster. Fler förtydliganden av detta slag är alltså att vänta i november/december.
Att identifiera tydliga roller och ansvar kan uppfattas som ett uttjatat mantra, men vi rekommenderar ändå finansiella aktörer att påbörja identifiering av ansvar för olika områden i DORA. Detta för att kunna bedöma omfattningen av den eventuella förändringsprocessen. Vem inom organisationen ansvarar för hantering av IKT-risker (Art. 5) och vilka funktioner inom bolaget behöver involveras och hur. Därefter bör en analys av befintligt och önskat ramverk för IKT-riskhantering (Art. 6) genomföras. Först därefter utkristalliseras vilka gap som finns mellan DORA och befintliga processer. Finansiella aktörer har ca 14 månader på sig att fylla dessa luckor och det är viktigt att ta i beaktning att RTS måste integreras i både befintliga och nya processer.
Vi ser att de större aktörerna på den svenska marknaden generellt sett har färre gap, då många av DORA:s krav redan återfunnits i tidigare riktlinjer från ESA. För många mindre aktörer kan det sig i vissa fall handla om helt nya processer som behöver implementeras, medan det för de större främst handlar om anpassning av organisation och processer.
Omeo arbetar redan med DORA-anpassningar för ett antal kunder och har lång erfarenhet av att pragmatiskt driva denna typ av regelverksprojekt tillsammans med våra kunder.