Finansiella företag så som banker, försäkringsbolag och betalningsinstitut måste följa omfattande reglering avseende företagens hantering av informations- och kommunikationsteknologi (”IKT”) och andra operativa risker. IKT-riskramverket består idag av riktlinjer från European Banking Authority (”EBA”), samt tillämpliga föreskrifter för respektive finansiellt tillstånd.
Anledningen till den omfattande regleringen är de ständigt eskalerande riskerna för t.ex. cyberattacker och andra IT- och säkerhetsincidenter i och med den allt mer komplexa tekniken och utökade digitaliseringen.
Europeiska unionen har identifierat skillnader i medlemsstaternas tillämpning av EBA:s riktlinjer för hantering av IKT och andra operativa risker. Europeiska kommissionen har därför tagit fram förslag på Digital Operational Resilience Act (Sv: Förordningen om digital operativ motståndskraft) (”DORA”) som ska främja den teknologiska utvecklingen genom ökad riskhantering och stöttning av innovation till följd av finanssektorns digitaliseringsprocess.
I december 2022 antog Europeiska rådet DORA vilket innebär att medlemsstaterna har fram till den 17 januari 2025 att efterleva kraven i den nya förordningen.
DORA fokuserar på fyra huvudområden och nedan sammanfattar vi vad dessa områden innebär och vilka krav de finansiella företagen ska uppfylla.
IKT riskhantering
Finansiella aktörer måste internt etablera ett omfattande och väldokumenterat riskramverk utifrån bedömning av den enskilda verksamheten. Riskramverket ska granskas regelbundet och revideras vid behov. Riskramverket ska innehålla bl.a. följande:
- Strategier, policys och rutiner som är nödvändiga för ett tillräckligt skydd av företagets informations- och IKT-tillgångar.
- Identifiering, klassificering och dokumentation av funktioner, roller och ansvarsområden som hanterar IKT-tillgångar och identifiering av IKT-risker kopplade till dessa.
- Riskbedömning vid varje materiell förändring i verksamheten så som ändring av nätverk, infrastruktur och processer.
- Mekanismer för att upptäcka avvikelser i IKT-tillgångar vilka kan leda till IKT-relaterade incidenter.
- Processer för att vid var tid ha tillgång till information om sårbarhet, cyberhot och incidenter, samt förmåga att analysera sannolik påverkan på företagets digitala motståndskraft.
Rapportering av IKT-incidenter
DORA ställer högre krav på att finansiella företag ska definiera, etablera och implementera incidenthanteringsprocesser för att snabbare kunna upptäcka, hantera och rapportera IKT-relaterade incidenter. Vid större IKT-incidenter minskas därmed rapporteringstiden till behöriga myndigheter. Dessa krav innebär att företag som omfattas av DORA behöver granska och uppdatera sina egna och sina leverantörers befintliga processer för incidentrapportering.
DORA ställer krav på att organisationer bl.a. behöver:
- Övervaka och rapportera IKT-relaterade incidenter.
- Etablera och implementera en process för att övervaka och logga IKT-relaterade incidenter.
- Klassificera IKT-relaterade incidenter enligt de kriterierna som ska tas fram av de europeiska tillsynsmyndigheterna.
- Rapportera större IKT-relaterade incidenter till den nationella tillsynsmyndigheten (för svenska företag Finansinspektionen).
Tester av den digitala operativa motståndskraften
För att säkerställa digital operativ motståndskraft ställer DORA krav på att berörda företag på ett systematiskt, riskbaserat och regelbundet sätt tillämpar olika typer av säkerhetstester. Företag som av nationell tillsynsmyndighet bedöms som viktiga behöver dessutom utföra utökad testning av sin IKT-miljö enligt modellen ”Threat Led Penetration Testing”. Testerna ska utföras av en extern part.
IKT-tredjepartsrisker
DORA ställer nya högre krav på de finansiella företagens avtal med sina leverantörer. Kraven innefattar bland annat översyn och kontroll av IKT-tredjepartsrisker. Dessutom måste finansiella företag ha strategier för att hantera de risker leverantörerna potentiellt orsakar, inklusive möjligheter att kunna byta leverantör när behov uppstår.
Kraven innebär bland annat att berörda aktörer behöver:
- upprätthålla ett register med information över avtal med tredjepartsleverantörer som tillhandahåller IKT-tjänster,
- utvärdera de tredjepartsleverantörer som kommer att leverera IKT-tjänster till kritiska eller viktiga funktioner, och
- anpassa avtalsinnehåll i avtal med tredjepartsleverantörer av IKT-tjänster.
Som ett komplement till DORA kommer flera svenska rättsakter att uppdateras, samt en kompletterande svensk lag att ikraftträdda. Detta är idag ett pågående arbete men den nya lagen och de uppdaterade rättsakterna beräknas träda i kraft samtidigt som DORA, d.v.s. den 17 januari 2025.
På Ekenberg & Andersson har vi mångårig erfarenhet av arbete med finansiella företag och hjälper er gärna att anpassa er verksamhet till de nya kraven uppställda i DORA. Ändringsarbetet kan ta tid beroende av hur långt er verksamhet har kommit med riskarbetet, varför det är bra att starta arbetet så snart som möjligt.
Anastasia Jansson
Advokat