Introduktion

Innehåll

DORA ställer krav på finansiella entiteters digitala operativa motståndskraft. Med digital operativ motståndskraft avses cybersäkerhet och kontinuitet. Även vissa it-leverantörer kan omfattas av en särskild tillsynsram i förordningen.

Förordningen består av fyra huvudsakliga delar:

1. Riskhantering

Finansiella entiteter ska vidta åtgärder för att hantera risker för att upprätthålla digital operativ motståndskraft.

2. Incident­hantering

Incidenter ska hanteras, rapporteras och ligga till grund för förbättringar av riskhanteringen.

3. Testning

Systemen ska testas och lärdomar ska implementeras i riskhanteringen.

4. Tredje­parts­risker

Risker vid utkontraktering ska hanteras.

Utöver dessa delar tillkommer även bestämmelser för frivilligt utbyte av underrättelser. Det tillkommer dessutom bestämmelser avseende tillsyn och de behöriga myndigheternas uppgifter och befogenheter.

Kraven i DORA är tämligen omfattande. Många entiteter har dock redan i stor utsträckning tillämpat motsvarande regler genom vägledningar utfärdade av tillsynsmyndigheterna EBA, EIOPA och ESMA. Genom DORA utökas harmoniseringen av regleringen av finansiella entiteter till att även avse dessas digitala operativa motståndskraft.

1. Riskhantering

De finansiella entiteterna ska ha ett ledningssystem för hantering av IKT-risker, den s.k. IKT-riskhanteringsramen. Det är den finansiella entitetens ledningsorgan som ansvarar för att ha en intern styrnings- och kontrollram som säkerställer en effektiv och ansvarsfull hantering av IKT-risker i syfte att åstadkomma en hög nivå av digital operativ motståndskraft (artikel 5).

Ordinarie riskhanteringsram

• System, protokoll och verktyg. Det ställs krav på att dessa ska vara lämpliga, tillförlitliga, ha tillräcklig kapacitet och vara tekniskt motståndskraftiga.
• Identifiering. Affärsfunktioner, roller och ansvarsområden, informationstillgångar och IKT-tillgångar, risker, beroenden av tredjepartsleverantörer och äldre IKT-system ska identifieras. Bedömningar ska göras återkommande och vid större förändringar (artikel 8).
• Skydd och förebyggande. Åtgärder ska vidtas för att säkerställa IKT-systemens motståndskraft, kontinuitet och tillgänglighet. Dessa åtgärder innefattar bl.a. riktlinjer för informationssäkerhet, förvaltning av nätverk, åtkomst, bevarande av äkthet, förändringar, applicering av uppdateringar och nätverkssegmentering (artikel 11).
• Upptäckt. Onormal aktivitet ska kunna upptäckas snabbt. Tröskelvärden ska utlösa processer för hantering av incidenter. Användarnas aktivitet ska övervakas (artikel 10).
• Kontinuitet. Det ska finnas en heltäckande kontinuitetsplan för IKT. Planen ska testas, särskilt avseende viktiga eller kritiska funktioner som utkontrakterats (artikel 11).
• Säkerhetskopiering. Det ska finnas strategier och förfaranden för både säkerhetskopiering och återställande, vilka ska testas regelbundet. Det ställs krav på segregering vid återställning och redundans i kapaciteten. Värdepapperscentraler ska ha ett sekundärt driftställe. Vid återställning ska integriteten kontrolleras (artikel 12).
• Lärande och utveckling. Det ställs krav på tillräcklig kapacitet och kompetens för att kunna samla in och hantera information om cyberhot och incidenter. Efter incidenter ska det genomföras översyner för att dra lärdomar. Lärdomar om testning och incidenter ska rapporteras till ledningsorganet tillsammans med rekommendationer. Personalen ska utbildas. Den tekniska utvecklingen ska bevakas (artikel 13).
• Kommunikation. Det ska finnas planer för att kommunicera med motparter, kunder och allmänheten vid allvarliga incidenter eller sårbarheter. Det ska även finnas strategier för kommunikation till personal eller berörda externa parter (artikel 14).

Mikroföretag

Riskhanteringsramen är i många delar väsentligen begränsad för s.k. mikroföretag. I anslutning till artiklarna på den här siten har förekomsten av avvikelser för mikroföretag markerats särskilt med den här typen av rutor.

De europeiska tillsynsmyndigheterna ska utarbeta gemensamma förslag till tekniska standarder för tillsyn i syfte att närmre specificera åtskilliga aspekter i den ordinarie riskhanteringsramen.

Utkast till tekniska standarder

De tekniska standarderna (Regulatory Technical Standard, RTS) har kommunicerats för inhämtande av kommentarer. Fristen för återkoppling löpte ut den 11 september 2023.

Tillsynsmyndigheterna väntas tillställa kommissionen de slutgiltiga versionerna av standarderna den 17 januari 2024.

Förenklad riskhanteringsram

I stället för den ordinarie riskhanteringsramen ovan ska en förenklad riskhanteringsram tillämpas av:

• små och icke-sammanlänkade värdepappersföretag,
• betalningsinstitut undantagna enligt direktiv (EU) 2015/2366,
• institut undantagna enligt direktiv 2013/36/EU och för vilka medlemsstaterna har beslutat att inte tillämpa den möjlighet som anges i artikel 2.4 i denna förordning, eller
• institut för elektroniska pengar undantagna enligt direktiv 2009/110/EG och små tjänstepensionsinstitut.

I jämförelse med den ordinarie riskhanteringsramen är den förenklade riskhanteringsramen väsentligt mindre betungande.

• Riskhanteringsram. Riskhanteringsramen ska vara sund och dokumenterad. Den ska specificera åtgärderna som syftar till hantering av risker. Även fysiska risker omfattas.
• Övervakning. Alla systems säkerhet och funktion ska övervakas kontinuerligt.
• System. Systemen ska vara sunda, motståndskraftiga och uppdaterade. De ska lämpa sig för att stödja verksamheten och skydda konfidentialitet, tillgänglighet, integritet och äkthet.
• Upptäckt. Det ska vara möjligt att snabbt identifiera och upptäcka risker och avvikelser samt att hantera incidenter.
• Beroenden. De viktigaste beroendena av tredjepartsleverantörer av IKT-tjänster ska identifieras.
• Kontinuitetsplaner. Viktiga eller kritiska funktioner ska omfattas av kontinuitetsplaner, bl.a. innefattande säkerhetskopiering och återställning.
• Testning. Kontinuitetsplanerna, och de åtgärder som införts genom riskhanteringsramen och i systemen, ska testas regelbundet.
• Utbildning. Personal och ledning ska utbildas om IKT-säkerhet och digital operativ motståndskraft. Utbildningen ska vara bl.a. underrättad av lärdomar som dragits.
• Rapportering. Riskhanteringsramen ska dokumenteras och ses över löpande samt vid incidenter samt förbättras baserat på detta. Vid begäran ska rapport avseende översynen lämnas till den behöriga myndigheten.

2. Incidenthantering

Finansiella entiteter ska kunna hantera incidenter utifrån förhållandevis detaljerade regler.

• Process för hantering av IKT-relaterade incidenter. Det ska finnas en process för att upptäcka, hantera och rapportera incidenter. Processen ska bl.a. avse indikatorer för tidig varning, loggning, fördelning av roller och ansvarsområden, planer för kommunikation och rapportering samt åtgärder (artikel 17).
• Klassificering av incidenter och hot. Incidenter och hot ska klassificeras enligt vissa kriterier (artikel 18).
• Rapportering. Allvarliga IKT-relaterade incidenter ska rapporteras till behöriga myndigheter. Det finns även en frivillig möjlighet att rapportera betydande cyberhot till behöriga myndigheter (artikel 19).
• Harmonisering av rapporteringsinnehåll och mallar. Många detaljer kring hanteringen av incidenter enligt förordningen kommer att fyllas ut och specificeras av tekniska standarder. Det gäller t.ex. vilka tidsfrister som ska gälla (artikel 20).
• Centralisering av rapportering av allvarliga IKT-relaterade incidenter. Tillsynsmyndigheterna ska utreda genomförbarheten av att upprätta en gemensam EU-kontaktpunkt för rapportering av allvarliga IKT-relaterade incidenter (artikel 21).
• Återkoppling från tillsynsmyndigheterna. Det finns en möjlighet för de behöriga myndigheterna att lämna återkoppling på hög nivå när finansiella entiteter rapporterar incidenter (artikel 22).
• Vissa betalningsrelaterade incidenter. Vissa incidenter som bl.a. rör betalningsrelaterade incidenter omfattas av samma regelverk som IKT-relaterade incidenter (artikel 23).

Tekniska standarder

Hanteringen av incidenter kommer i stor utsträckning utvecklas och närmre specificeras genom de tekniska standarder som tas fram för tillfället.

3. Testning

Finansiella entiteter ska testa sin digitala operativa motståndskraft. Utöver den ordinarie testningen som krävs enligt förordningen ska vissa entiteter även utföra hotbildsstyrd testning.

Ordinarie testning

Den digitala operativa motståndskraften ska testas enligt vissa krav.

De allmänna kraven på testningen avser (artikel 24):

• att följa “best practices”,
• att en riskbaserad metod ska användas,
• att “state of the art” ska beaktas,
• att testarna ska vara oberoende (även interna testare),
• att ha strategier för prioritering, klassificering, och åtgärdande, och
• att testerna utförs minst årligen.

Testning av system och verktyg ska omfatta (artikel 25):

• sårbarhetsanalyser och skanningar,
• analyser av öppen källkod,
• nätverkssäkerhetsbedömningar,
• gapanalyser,
• fysiska säkerhetsgranskningar,
• frågeformulär och programvarulösningar för skanning,
• källkodsgranskningar när så är möjligt,
• scenariobaserade tester,
• kompatibilitetstester,
• prestandatester,
• tester ändpunkt till ändpunkt (end-to-end), och
• penetrationstester.

Hotbildsstyrd testning

Utöver den ordinarie testningen ska vissa finansiella entiteter även utföra s.k. hotbildsstyrd testning. De behöriga myndigheterna ska identifiera de finansiella entiteter som är skyldiga att genomföra hotbildsstyrd penetrationstestning. Testningen ska utföras minst vart tredje år (artiklarna 26 och 27).

Sådana avancerade tester bör enligt ingressen endast krävas av finansiella entiteter som är tillräckligt mogna ur ett IKT-perspektiv för att utföra dem på ett rimligt sätt (skäl 56).

Mikroföretag samt finansiella entiteter som tillämpar den förenklade riskhanteringsramen enligt artikel 16 omfattas inte av kravet på hotbildsstyrd testning.

4. Hantering av tredjepartsrisker

Finansiella entiteter ska följa vissa krav avseende deras hantering av s.k. IKT-tredjepartsleverantörer.

Utöver kraven som ställs på de finansiella entiteterna kan även dessas it-leverantörer omfattas av en särskild tillsynsram i förordningen.

Hantering av tredjepartsrisker

De allmänna kraven för hantering av tredjepartsrisker avser bl.a. (artikel 28):

• att anta en strategi samt att regelbundet se över denna,
• att föra ett register över utkontrakterade funktioner,
• att göra en åtskillnad mellan kritiska eller viktiga funktioner och andra funktioner,
• att årligen rapportera antalet nya arrangemang samt typ av arrangemang och funktion till behöriga myndigheter,
• att informera den behöriga myndigheten om planerade arrangemang som stödjer kritiska eller viktiga funktioner,
• att granska planerade arrangemang utifrån vissa kriterier,
• att välja leverantörer som uppfyller lämpliga standarder för informationssäkerhet, och
• att ha möjlighet att avsluta arrangemang i vissa situationer.

Tekniska standarder

Hanteringen av tredjepartsrisker kommer i stor utsträckning utvecklas och närmre specificeras genom de tekniska standarder som tas fram för tillfället. De tekniska standarderna kommer att avse standardmallar för det register över leverantörer som ska föras och innehållet i riktlinjerna för användningen av IKT-tjänster som stödjer kritiska eller viktiga funktioner.

När finansiella entiteter utkontrakterar IKT-tjänster till tredjepartsleverantörer ska de tillse att avtalen innehåller vissa närmre angivna villkor (artikel 30).

De allmänna kraven på innehållet i avtalen omfattar bl.a. följande.

• Tydliga beskrivningar
• Geografisk lokalisering
• Skydd av data
• Åtkomst
• Servicenivåer
• Assistans
• Samarbeta med behöriga myndigheter
• Uppsägningsrätt
• Deltagande i program för medvetenhet

I de fall en IKT-tjänst stödjer en kritisk eller viktig funktion ska dessutom innehållet i avtalen omfatta bl.a. följande.

• Prestationsmål
• Övervakning
• Rapporteringsskyldighet
• Beredskapsplaner
• Säkerhetsåtgärder
• Deltagande i hotbildsstyrd penetrationstestning
• Exitstrategier

Tillsynsram för vissa it-leverantörer

Tredjepartsleverantörer av IKT-tjänster som uppfyller vissa kriterier ska klassificeras som kritiska av de europeiska tillsynsmyndigheterna genom en särskild gemensam kommitté (artikel 31). Klassificeringen innebär att leverantörerna omfattas av en särskild tillsynsram i förordningen. Det innebär alltså inte att de omfattas av förordningen i övrigt.

Tillsynen omfattar på ett övergripande plan följande delar (artikel 31).

• Säkerhet, tillgänglighet, kontinuitet, skalbarhet och kvalitet
• Fysisk säkerhet
• Processer för riskhantering, inbegripet IKT-riskhanteringsstrategier, IKT-kontinuitetspolicy och åtgärds- och återställningsplaner avseende IKT.
• Styrformer, inbegripet en organisationsstruktur med tydliga, transparenta och konsekventa regler för ansvar och ansvarsskyldighet som möjliggör en effektiv IKT-riskhantering.
• Incidenthantering
• Dataportabilitet m.m.
• Testning
• Revisioner
• Användning av standarder

Tillsynsmyndigheterna ges befogenheterna som krävs för att kunna genomföra tillsynen. Tillsynen är förenad med en tillsynsavgift.

Tillämpning

Förordningen är direkt tillämplig och behöver inte genomföras i nationell lagstiftning såsom är fallet med s.k. direktiv, t.ex. NIS2.

Förordningen ska tillämpas av de omfattade entiteterna från och med den 17 januari 2025.