Dora - Digital Operational Resilience Act
Från och med den 17 januari 2025 ställs nya krav på den finansiella sektorn genom EU-förordningen Digital Operational Resilience Act (DORA). Syftet med DORA är att stärka den operativa motståndskraften mot digitala hot inom bank-, finans- och försäkringssektorn. Det innebär att företagen behöver säkerställa robusta processer och rutiner för att förebygga, hantera och rapportera incidenter relaterade till informations- och kommunikationsteknik (IKT).
De senaste årens ökning av cyberhot mot finanssektorn talar sitt tydliga språk. Ransomware-attacker mot betalningssystem, dataintrång i kunddatabaser och DDoS-attacker mot kritiska finansiella tjänster har visat på behovet av en gemensam europeisk reglering. Genom DORA fastställs gemensamma krav på riskhantering, incidentrapportering och testning, vilket ska öka branschens förmåga att motstå digitala hot och störningar.
Krav på utbildning och kompetens
En del av DORA är kravet på att säkerställa adekvat utbildning av personalen. Enligt artikel 13(6) ska anställda regelbundet utbildas för att bättre förstå och hantera digitala risker. Detta är avgörande för att de finansiella företagen ska kunna upprätthålla en hög nivå av digital motståndskraft och snabbt kunna agera vid eventuella incidenter.
Utbildningen ska gälla för alla anställda och personer i ledande ställning. Utbildningens komplexitet ska motsvara behörigheten för personens roll.
Nya rapporteringskrav från Finansinspektionen
Den 16 december 2024 kom Finansinspektionen med mer detaljer om hur rapporteringen av allvarliga IKT-relaterade incidenter och den frivilliga rapporteringen av betydande cyberhot ska göras. Läs mer här https://www.fi.se/sv/publicerat/nyheter/2024/viktig-information-om-dora-rapportering-av-incidenter-och-cyberhot/
Vanliga frågor OM DORA
När börjar DORA gälla?
Från och med den 17 januari 2025 måste finansiella företag rapportera allvarliga IKT-relaterade risker enligt DORA-förordningen. Det innebär att de har haft en övergångsperiod på 24 månader för att uppfylla kraven. Vissa specifika bestämmelser, såsom de om hotbildsstyrd penetrationstestning, träder dock i kraft först 36 månader efter förordningens publiceringsdatum, vilket innebär den 17 januari 2026.
Vad står DORA för?
Digital Operational Resilience Act.
Vilka företag omfattas av DORA?
DORA-förordningen omfattar i stort sett alla företag inom den finansiella sektorn som står under Finansinspektionens tillsyn. Detta inkluderar banker, försäkringsbolag, värdepappersbolag och andra finansiella institut. Även de finansiella aktörernas tredjepartsleverantörer påverkas av DORA-förordningen.
Vilka avtal omfattas av DORA?
Avtal med tredjepartsleverantörer av IKT-tjänster som stödjer kritiska eller viktiga funktioner.
Vilka länder omfattas av DORA?
DORA ska tillämpas enhetligt i samtliga EU-länder.
För att säkerställa att alla anställda är redo inför de nya kraven erbjuder vi en utbildning om DORA. Utbildningen ger en övergripande bild om bakgrund, syfte och några av de huvudsakliga reglerna i DORA.
Den ger en förståelse för vad DORA är, vilka som omfattas och vilka krav som ställs på finansiella företag.
