Kapitel 10 Ikrafttrædelse: 17. januar 2025

DORA

Digital Operational Resilience Act

Oversigt

Digital Operational Resilience Act (DORA) fastsætter ensartede krav til sikkerhed og robusthed i netværks- og informationssystemer, der understøtter forretningsprocesserne i finansielle enheder. Den skaber også en ramme for tilsyn med kritiske ICT-tjenesteudbydere fra tredjeparter.[1]

DORA er en forordning, hvilket betyder, at den gælder direkte i alle EU-medlemsstater uden behov for implementering.

Omfattede enheder

Finansielle enheder[2]

  • Kreditinstitutter (banker)
  • Betalingsinstitutter
  • E-pengeinstitutter
  • Investeringsfirmaer
  • Forsikrings- og genforsikringsselskaber
  • Central værdipapirdepot
  • Handelsregistre
  • Kreditvurderingsbureauer
  • Udbydere af krypto-aktiver
  • Crowdfunding-udbydere
  • Udbydere af dataindberetningstjenester

Kritiske ICT-tredjepartsudbydere

De europæiske tilsynsmyndigheder udpeger kritiske ICT-tjenesteudbydere baseret på:

  • Systemisk påvirkning ved udbyderens svigt
  • Graden af udskiftelighed
  • Antallet af finansielle enheder, der er afhængige af udbyderen

Udpegede udbydere er underlagt EU's tilsynsramme.

DORAs fem søjler

1. ICT-risikostyring (Kapitel II)

Finansielle enheder skal etablere og opretholde:

  • Styring: Bestyrelsens ansvar for ICT-risiko strategi
  • Risikoramme: Identifikation, beskyttelse, opdagelse, reaktion, genopretning
  • Dokumentation: Politikker, procedurer og protokoller for ICT-sikkerhed
  • Testning: Regelmæssig evaluering af ICT-systemer og værktøjer

2. ICT-hændelsesrapportering (Kapitel III)[3]

KravDetaljer
KlassificeringHarmoniserede kriterier for hændelsens alvorlighed
Indledende anmeldelseTil kompetent myndighed inden for 4 timer efter klassificering
Mellemliggende rapportInden for 72 timer med opdateringer
Endelig rapportInden for 1 måned efter løsning
Frivillig rapporteringBetydelige cybertrusler kan rapporteres

Større ICT-relaterede hændelser skal rapporteres ved brug af standardiserede skabeloner.

3. Test af digital operationel robusthed (Kapitel IV)

EnhedstypeTestkrav
Alle enhederÅrligt ICT-testprogram
Betydelige enhederTrusselsbaseret penetrationstest (TLPT) hvert 3. år
Kritiske ICT-udbydereKan deltage i fælles TLPT

Testning skal omfatte: sårbarhedsvurderinger, netværkssikkerhedsvurderinger, software-sikkerhedsgennemgange, kildekodegennemgange (hvor muligt), scenariebaseret testning og kompatibilitetstestning.

4. Risikostyring af tredjepart (Kapitel V)[4]

Finansielle enheder skal:

  • Føre register over alle ICT-tredjepartsaftaler
  • Udføre due diligence før kontrahering
  • Vurdere koncentrationsrisici
  • Indarbejde obligatoriske kontraktbestemmelser
  • Definere exit-strategier
  • Indberette aftaler til kompetente myndigheder

Obligatoriske kontraktvilkår inkluderer serviceniveaubeskrivelser, databeskyttelsesforpligtelser, adgangs- og revisionsrettigheder, krav til hændelsesrapportering og opsigelsesrettigheder med overgangsstøtte.

5. Informationsdeling (Kapitel VI)

Finansielle enheder kan udveksle information om cybertrusler inden for betroede fællesskaber underlagt fortrolighedsregler for at styrke kollektivt forsvar.

Proportionalitet

DORA anvender proportionalitet baseret på enhedens størrelse og risikoprofil, arten, omfanget og kompleksiteten af tjenester samt systemisk betydning.

Forenklede krav gælder for små og ikke-forbundne investeringsfirmaer, betalings- og e-pengeinstitutter under visse tærskler samt visse forsikringsmellemled.

Straf

Kompetente myndigheder kan pålægge:[5]

  • Administrative bøder
  • Periodiske bødebetalinger
  • Offentlige udtalelser
  • Tilbagetrækning af tilladelse
  • Midlertidige forbud mod ledelsesfunktioner

Specifikke beløb fastsættes af medlemsstatens lovgivning.

Implikationer for udviklere og ICT-udbydere

Hvis du leverer ICT-tjenester til den finansielle sektor:

  1. Kontraktgennemgang: Sikr at kontrakter opfylder DORA-krav
  2. Hændelsesrapportering: Etabler rapporteringskanaler til kunder
  3. Teststøtte: Understøt kunders penetrationstest
  4. Exit-planlægning: Muliggør ordnet overgang ved kontraktophør
  5. Koncentrationsbevidsthed: Overvåg afhængigheder af dine tjenester
  6. Kritisk udpegning: Forbered dig på potentiel EU-tilsyn

Kilder & Referencer

[1]
Forordning (EU) 2022/2554 om digital operationel robusthed for den finansielle sektor. EUR-Lex: DORA Officiel Tekst
[2]
DORA Artikel 2: Anvendelsesområde. DORA Portal: Artikel 2
[3]
DORA Artiklerne 17-23: ICT-relateret hændelsesrapportering. DORA Portal: Hændelsesrapportering
[4]
DORA Artiklerne 28-44: Risikostyring af tredjepart. DORA Portal: Tredjepartsrisiko
[5]
DORA Artikel 50: Administrative sanktioner og afhjælpende foranstaltninger. DORA Portal: Sanktioner