Vad innebär förordningen DORA?

Skrivet av Hampus Englund

DORA står för Digital Operational Reslience Act och är en EU-förordning om digital operativ motståndskraft för finanssektorn. Förordningen ingår i ett paket för digitalisering av finanssektorn vilken eftersträvar att främja teknisk utveckling och säkerställa finansiell stabilitet och konsumentskydd.

I samband med digitaliseringens framfart har informations- och kommunikationstekniken kommit (IKT) att innebära såväl möjligheter som risker. Dessa har kommit att utgöra en utmaning för bl.a. den operativa motståndskraften i EU:s finansiella system.

Förordningen har trätt i kraft och den ska tillämpas från och med den 17 januari 2025.

Vad är en förordning?

DORA är en förordning, vilken utgör en rättsakt tillhörande sekundärrätten inom unionsrätten som härleds från EU. Primärrätten utgörs av EU-fördragen och är överordnad sekundärrätten. Det uppställs krav på de sekundärrättsliga reglerna att dessa har en tydlig och utpekad grund i en fördragsartikel. Förordningarna äger allmän giltighet i hela unionen, vilket innebär att DORA är till alla dess delar bindande och utgör direkt gällande rätt i Sverige. Förordningen ska därmed äga direkt tillämpning av svenska myndigheter och domstolar.

Syftet med DORA

Syftet med förordningen är att säkerställa att aktörer i det finansiella systemet har företagit de skyddsåtgärder som fordras för att motarbeta cyberattacker och andra IKT-risker. En heltäckande ram för digital operativ motståndskraft hos de finansiella enheterna kommer bl.a. att innebära:

  • En effektivisering av de finansiella enheternas hantering av IKT-risker

  • Upprättandet av grundlig testning av IKT-system

  • Ökad medvetenhet om cyberrisker i och med möjligheten till informationsutbyte

  • Övervakning av IKT-tredjepartsrisker

  • Upprättandet av en konsekvent incidentrapporteringsmekanism

Tillämpningsområdet för DORA

Tillämpningsområdet för DORA är vid och omfattar:

  • Betalningsinstitut

  • Kreditinstitut

  • Värdepappershandel

  • Förvaltningstjänster

  • Revisorer

  • Leverantörer av datarapporteringstjänster

  • Försäkrings- och återförsäkringsföretag

  • Tredjepartsleverantörer av IKT-tjänster m.fl.

Dock genomsyrar proportionalitetsprincipen förordningen, vilket innebär att vid tillämpning av bestämmelserna så kan bl.a. aktörens storlek, behov och risknivå komma att beaktas.  

Sanktioner och straffrättsliga påföljder i enlighet med DORA

Förordningen medger en skyldighet till medlemsstaterna att fastställa bestämmelser om lämpliga administrativa sanktioner och avhjälpande åtgärder vid överträdelser av förordningen. DORA anger att sådana sanktioner och åtgärder ska vara effektiva, proportionella och avskräckande.

Vi på Omegapoint kan hjälpa er

Vi på Omegapoint hjälper er gärna kring era frågor och arbeten inför DORA-förordningen. Genom vår expertis, samt vårt verktyg O.ciso kan vi tillsammans bidra till effektiviserat arbete för er kring de krav som den nya förordningen uppställer. Tveka därför inte att höra av er om ni vill veta mer!

Referens

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014 och (EU) nr 909/2014

https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:52020PC0595&from=EN

Hampus Englund
Föregående

Vilka krav uppställer DORA?