Vad behöver man göra om man omfattas av DORA?

  • Vad behöver man göra om man omfattas av DORA?

Det kan vara svårt att förstå DORA-regelverket. Här förklarar Johan Gnosspelius, Senior Partner på Pro4u, på ett lättfattligt sätt vad som behöver göras om man omfattas av DORA-regelverket.

Kontakta mig om du vill prata mer om DORA

Pernilla Uhrström

Kundansvarig på Pro4u

E-post: pernilla.uhrstrom@pro4u.com
Mobiltelefon: 072 567 63 00

Inledning

Banker, försäkringsbolag, pensionsinstitut och andra finansiella företag och deras underleverantörer måste efter 17 januari 2025 följa ett EU-regelverk för digital motståndskraft.

Med tanke på den senaste tidens många angrepp från ryska hackergrupper är detta område högst aktuellt.

Inte helt klar på vad DORA är och vad det innebär? Här förklarar vi!

Vad behöver man göra om man omfattas av DORA?

En första bedömning är att avgöra vilken typ av finansiell entitet man betraktas som. Detta styr vilken omfattning av aktiviteter som krävs. En liten finansiell entitet behöver inte uppfylla så mycket. Ett andra steg kan vara att gå igenom områdena nedan för att identifiera vad som redan finns på plats och vilka förändringar som behövs.

Riskhantering

Finansiella entiteter måste etablera och underhålla effektiva och proportionerliga riskhanteringsstrategier, policyer, procedurer och system. Detta inkluderar att identifiera, dokumentera och hantera informationssäkerhetsrisker. Regelverket beskriver principer och man kan stödja sig på relevanta modeller och praxis för IKT-risker.

Styrning

Finansiella entiteter måste ha en lämplig governance-struktur för att säkerställa att IKT-risker hanteras effektivt. Detta kan inkludera att inrätta särskilda kommittéer eller funktioner som fokuserar på digital motståndskraft.

Incidenthantering

Det är viktigt att ha planer och processer på plats för att snabbt kunna identifiera, rapportera och hantera IKT-incidenter.

Testning av motståndskraft

Man behöver planera och genomföra regelbunden testning av IT-systemen för att säkerställa att de kan motstå olika typer av cyberattacker och andra störningar. Detta kan inkludera penetrationstester, stresstester och scenariobaserade övningar. Hur avancerad testning som krävs beror på typ av finansiell entitet. Riskbaserad testning skall göras årligen medan mer avancerad hotbildstestning skall göras vart tredje år.

Riskhantering av tredje part

Finansiella entiteter måste övervaka och hantera risker kopplade till tredjepartsleverantörer, särskilt de som tillhandahåller kritiska IT-tjänster. Avtal med underleverantörer måste formuleras för att möte kraven i regelverket och innehålla bestämmelser om t.ex. skydd av funktioner, tjänster och information övervakning, säkerställande av att återta information om leverantören upphör och samarbete.

Datahantering och säkerhet

Strikta åtgärder för dataskydd och säkerhet för att skydda känslig information, inklusive personuppgifter.

Rapportering

Att säkerställa överensstämmelse med DORA-kraven kräver regelbunden rapportering och kommunikation med tillsynsmyndigheter.

Utbildning och medvetenhet

Att investera i utbildning och medvetenhet om cyberhot och digital motståndskraft bland personalen är också viktigt.

Utbyte av information

Regelverket ger också möjlighet till utbyte av information om hot, erfarenheter, mm. Detta informationsutbyte mellan finansiella entiteter är frivilligt men uppmuntras så att man gemensamt skall kunna upprätthålla god motståndskraft..

Viktiga datum

  • 17 januari 2024: Utkast till tekniska standarder presenteras.
  • 17 juli 2024: Riktlinjer för kostnadsberäkning relaterat till IKT-incidenter.
  • 17 januari 2025: DORA träder i kraft.

Slutsats/sammanfattning

DORA är rätt omfattande och kan kräva mycket arbete. Om detta inte är igång ännu behöver det börja snarast. Det positiva är att processer och rutiner för många delar av regelverket redan kan finnas på plats. De kan behöva justeras och dokumenteras för att fullt uppfylla kraven.

Vill du ha detta material som PDF?

Behöver du hjälp med att införa DORA?

Se till att ditt företag hamnar i ett bättre läge och minimera dina digitala risker. En robust miljö och effektiv riskhantering ger företaget konkurrensfördelar på en tuff marknad. Kontakta oss gärna om du vill veta mer.

Kontakt

Vi har lång erfarenhet av att hjälpa företag inom bank, finans och försäkring med regulatoriska krav. Läs mer om övriga regelverk här