Vilka krav uppställer DORA?

Skrivet av Hampus Englund

Digitial Operational Resilience Act (DORA) är en EU-rättslig förordning om digital operativ motståndskraft för finanssektorn och kommer att börja gälla från och med 17 januari 2025. 

DORA är indelat i fem olika avsnitt:

Styrning och hantering av risker (art. 5-14)

De finansiella aktörerna som omfattas av förordningen ska ha en sund, heltäckande och väldokumenterad IKT-riskhanteringsram som gör det möjligt för dem att snabbt, effektivt och heltäckande hantera IKT-risker och säkerställa en hög nivå av digital operativ motståndskraft som motsvarar deras affärsbehov, storlek och komplexitet.

Aktörerna ska även inrätta och upprätthålla motståndskraftiga IKT-system och IKT-verktyg. Vidare ska aktörerna vikta skyddsåtgärder och förebyggande åtgärder, samt införa särskilda och heltäckande kontinuitetsplaner och katastrof- och återställningsplaner.

Incidentrapportering (art. 15-20)

De finansiella aktörerna åläggs att inrätta och genomföra en process för hantering av IKT-relaterade incidenter för att på så sätt upptäcka, hantera och meddela IKT-relaterade incidenter. De ska även införa indikatorer för tidig varning, såsom larm. 

Testning av digital operativ motståndskraft (art. 21-24)

Som en integrerad del av sin IKT-riskhanteringsram, åläggs de finansiella aktörerna att inrätta och upprätthålla ett heltäckande program för testning av digital operativ motståndskraft. Detta för att identifiera svagheter, brister eller luckor och därmed snabbt kunna genomföra korrigerande åtgärder. Kraven för testning är proportionerlig med hänsyn till aktörens storlek, affärsprofil och riskprofil. 

Hantering av IKT-tredjepartsrisker (art. 25-39)

DORA adresserar riskerna som kan uppstå i samband med tredjepartsleverantörer. Förordningen har därmed för avsikt att säkerställa en sund övervakning av IKT-tredjepartsrisker. Detta uppnås genom principbaserade regler och harmonisering av de viktigaste delarna i tjänster från och förhållandet till IKT-tredjepartsleverantörer. Kritiska tredjepartsleverantörer av IKT-tjänster kommer dessutom att övervakas på EU-nivå. 

Informationsutbyte (art. 40)

I enlighet med DORA ges även de finansiella aktörerna möjligheten att göra överenskommelser att utbyta information sinsemellan om cyberhot, tekniker, taktiker, etc. Detta för att öka medvetenheten om IKT-risker och minska deras spridning, samt stödja de finansiella aktörernas försvarsförmåga och metoder för att upptäcka hot. 

Vi på Omegapoint kan hjälpa er

Vi på Omegapoint hjälper er gärna kring era frågor och arbeten inför DORA-förordningen. Genom vår expertis, samt vårt verktyg O.ciso kan vi tillsammans bidra till effektiviserat arbete för er kring de krav som den nya förordningen uppställer. Tveka därför inte att höra av er om ni vill veta mer!

Referens

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011

https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:32022R2554 

Hampus Englund
Föregående

Hur kan vi hjälpa er med era DORA-utmaningar? 
Nästa

Vad innebär förordningen DORA?