För att tydliggöra vilka krav som ska ställas på finansiella företag har det tagits beslut om en gemensam EU-förordning: DORA, vilket står för ”Digital Operational Resilience Act”. Denna förordning syftar till att stärka den digitala operativa motståndskraften inom den finansiella sektorn och målet är att säkerställa att finansiella institutioner och leverantörer av viktiga tjänster har tillförlitliga system och processer för att hantera cyberrisker.
DORA-förordningen kommer att börja tillämpas från och med januari 2025 och innebär att företag inom den finansiella sektorn måste identifiera och hantera risker som kan uppstå på grund av digitalisering och användning av teknik inom deras verksamhet.
Förenklat kan man säga att DORA är uppbyggt kring fem huvudområden. De huvudsakliga delarna är bestämmelser om styrning och riskhantering, rapportering, testning och tillsyn för IKT-leverantörer som levererar tjänster till den finansiella sektorn.
IKT riskhantering
Företagets roll i det finansiella systemet och hur företaget hanterar och står emot attacker ska definieras. Företaget ska identifiera, bedöma och minimera risker som är relaterade till system och infrastruktur gällande informations- och kommunikationsteknik (IKT). Det innebär bland annat att etablera ett ramverk för riskhantering för att arbeta systematiskt och att genomföra riskhanteringsprocesser för att säkerställa att IKT-risker hanteras effektivt.
Incidentrapportering
Om bolaget utsätts för en incident måste de ha rutiner för att snabbt kunna genomföra en anmälan till lämplig myndighet. Vidare ska man rapportera missöden vilket ska vara i enlighet med lagen om informationssäkerhet för samhällsviktiga tjänster. I detta ska man genomföra incidenthanteringsprocesser för att säkerställa att IKT-incidenter identifieras, rapporteras och löses på ett tidseffektivt sätt.
Program för risktestning
Institutet ska genomföra simulerade cyberattacker för att testa faktisk säkerhet till exempel motståndskraften i IKT-system och infrastruktur för att säkerställa att de kan fortsätta att fungera vid störningar som exempel cyberattacker, strömavbrott och naturkatastrofer.
Tredjepartsrisker
Bolagen måste kunna hantera och bedöma risker som är relaterade till tredjepartsleverantörer och serviceleverantörer som tillhandahåller IKT-tjänster eller infrastruktur. Detta innefattar övervakning, kontraktsskrivning och exit-möjligheter. Företaget ska säkerställa att tredjepartsrisker hanteras effektivt. I avtalen med tredjepartsleverantörer ska det finnas villkor som är förenliga med de tekniska krav som anges i DORA.
Kommunicera information och undersökningsresultat
Hänsyn ska tas till sekretess, företagshemligheter och privata uppgifter. Detta handlar om att etablera effektiv hantering av informationsdelning mellan relevanta parter för att stödja effektiv hantering av IKT-relaterade risker och incidenter. Det innebär också att utveckla ramverk för informationsdelning och att genomföra processer för att säkerställa att relevant information delas på ett tidseffektivt och säkert sätt.
Det övergripande ansvaret för att bolaget följer DORA-förordningen och implementerar ramverket och andra styrningsskyldigheter ligger på bolagets ledning. Bolaget är skyldig att utse en befattningshavare med ansvar för DORA samt rapportera incidenter till lämpliga myndigheter.