DORA
Digital Operational Resilience Act
Översikt
Digital Operational Resilience Act (DORA) fastställer enhetliga krav för säkerhet och motståndskraft i nätverks- och informationssystem som stödjer affärsprocesserna hos finansiella enheter. Den skapar också en ram för tillsyn av kritiska ICT-tjänsteleverantörer från tredje part.[1]
DORA är en förordning, vilket innebär att den gäller direkt i alla EU:s medlemsstater utan behov av genomförande.
Enheter inom tillämpningsområdet
Finansiella enheter[2]
- Kreditinstitut (banker)
- Betalningsinstitut
- E-myntinstitut
- Investeringsföretag
- Försäkrings- och återförsäkringsföretag
- Centralvärdepappersförvarare
- Handelsregister
- Kreditvärderingsinstitut
- Tjänsteleverantörer av krypto-tillgångar
- Tjänsteleverantörer av crowdfunding
- Tjänsteleverantörer av datarapportering
Kritiska ICT-tjänsteleverantörer från tredje part
Europeiska tillsynsmyndigheter utser kritiska ICT-tjänsteleverantörer baserat på:
- Systemisk påverkan vid leverantörsfel
- Grad av utbytbarhet
- Antal finansiella enheter som är beroende av leverantören
Utsedda leverantörer omfattas av EU:s tillsynsramverk.
DORAs fem pelare
1. ICT-riskhantering (Kapitel II)
Finansiella enheter måste etablera och upprätthålla:
- Styrning: Styrelsens ansvar för ICT-riskstrategi
- Riskramverk: Identifiering, skydd, upptäckt, respons, återhämtning
- Dokumentation: Policyer, procedurer och protokoll för ICT-säkerhet
- Testning: Regelbunden utvärdering av ICT-system och verktyg
2. ICT-incidentrapportering (Kapitel III)[3]
| Krav | Detaljer |
|---|---|
| Klassificering | Harmoniserade kriterier för incidentens allvarlighetsgrad |
| Initial anmälan | Till behörig myndighet inom 4 timmar efter klassificering |
| Intermediär rapport | Inom 72 timmar med uppdateringar |
| Slutrapport | Inom 1 månad efter lösning |
| Frivillig rapportering | Betydande cyberhot kan rapporteras |
Större ICT-relaterade incidenter måste rapporteras med standardiserade mallar.
3. Testning av digital operativ motståndskraft (Kapitel IV)
| Enhetstyp | Testkrav |
|---|---|
| Alla enheter | Årligt ICT-testprogram |
| Betydande enheter | Hotledd penetrationstestning (TLPT) vart tredje år |
| Kritiska ICT-leverantörer | Kan delta i samordnad TLPT |
Testningen måste omfatta: sårbarhetsbedömningar, nätverkssäkerhetsbedömningar, granskningar av programvarusäkerhet, granskningar av källkod (där det är möjligt), scenariosbaserad testning och kompatibilitetstestning.
4. Riskhantering för tredje part (Kapitel V)[4]
Finansiella enheter måste:
- Upprätthålla register över alla ICT-avtal med tredje part
- Genomföra due diligence innan avtal ingås
- Bedöma koncentrationsrisker
- Inkludera obligatoriska avtalsvillkor
- Definiera utträdesstrategier
- Rapportera avtal till behöriga myndigheter
Obligatoriska avtalsvillkor inkluderar beskrivningar av servicenivåer, dataskyddsåtaganden, åtkomst- och revisionsrättigheter, krav på incidentrapportering samt uppsägningsrättigheter med stöd för övergång.
5. Informationsdelning (Kapitel VI)
Finansiella enheter kan utbyta information om cyberhot inom betrodda gemenskaper, under förutsättning att sekretessregler följs, för att stärka det kollektiva försvaret.
Proportionalitet
DORA tillämpar proportionalitet baserat på enhetens storlek och riskprofil, tjänsternas natur, omfattning och komplexitet samt systemisk betydelse.
Förenklade krav gäller för små och icke-sammanlänkade investeringsföretag, betalnings- och e-myntinstitut under vissa tröskelvärden samt vissa försäkringsförmedlare.
Påföljder
Behöriga myndigheter kan ålägga:[5]
- Administrativa böter
- Periodiska vite
- Offentliga uttalanden
- Återkallelse av tillstånd
- Tillfälliga förbud mot ledningsfunktioner
Specifika belopp bestäms av medlemsstatens lagstiftning.
Konsekvenser för utvecklare och ICT-leverantörer
Om du tillhandahåller ICT-tjänster till finanssektorn:
- Avtalsgranskning: Säkerställ att avtal uppfyller DORA-krav
- Incidentrapportering: Etablera rapporteringskanaler till kunder
- Testningsstöd: Underlätta penetrationstestning för kunder
- Utträdesplanering: Möjliggör ordnad övergång vid avtalsupphörande
- Medvetenhet om koncentration: Övervaka beroenden av dina tjänster
- Kritisk utmärkelse: Förbered för potentiell EU-tillsyn