Är DORA ett lagkrav?
Står er organisation inför frågor om DORA regelkrav och om det är lagkrav? Det är en viktig fråga för alla inom finanssektorn. Ja, DORA är lag och gäller sedan januari 2025.
DORA-förordningen, eller Regulation (EU) 2022/2554, är en EU-förordning som gäller i alla EU-länder, inklusive Sverige. Det betyder att den inte behöver implementeras nationellt för att vara lag. Den ställer nya krav på företag inom finanssektorn, främst när det kommer till IKT-risker och digital motståndskraft.
Regleringen gäller de flesta organisationer under Finansinspektionens tillsyn. Vi hjälper er att förstå dessa krav och vad som händer om ni inte följer dem. Denna förordning är en stor förändring för hur finanssektorn hanterar digitala risker.
Viktiga Punkter
- DORA är en bindande EU-förordning som gäller direkt i Sverige utan nationell implementering
- Förordningen började gälla i januari 2025 och är obligatorisk för finansiella företag
- Omfattar de flesta organisationer som står under Finansinspektionens tillsyn
- Ställer krav på hantering av IKT-risker och digital operativ motståndskraft
- Bristande efterlevnad kan leda till sanktioner och tillsynsåtgärder
- Representerar en fundamental förändring i hur finanssektorn hanterar digitala risker
- Kräver strukturerad approach för att säkerställa fullständig compliance
Vad är DORA?
Finanssektorn blir allt mer beroende av digital teknik. Därför har EU skapat DORA. Detta är en ny era där Digital Operational Resilience Act sätter en standard för att hantera digitala risker. Detta regelverk är viktigt för att säkerställa att finansiella organisationer kan fortsätta att fungera även under svåra tider.
DORA EU lagstiftning är svar på de utmaningar som digitaliseringen har medfört. Den nya komplexiteten i finansiella system och hoten från cyberattacker kräver en ny syn på finansiell stabilitet.
Definition och syfte
DORA är det mest omfattande regelverket för IKT-risker inom finanssektorn i Europa. Digital Operational Resilience Act går långt bortom traditionella IT-säkerhetskrav. Det omfattar även organisatoriska och processbaserade aspekter för en holistisk syn på digital motståndskraft.
Det syftar till att säkerställa att finansiella institutioner kan fortsätta att erbjuda kritiska tjänster även under extraordinära omständigheter. Detta inkluderar cyberattacker och systemfel som kan störa den finansiella stabiliteten.
DORA strävar efter att skapa en resilient finanssektor. Detta innebär att förmågan att motstå och återhämta sig från digitala störningar blir viktigare. Det är en evolution från att bara fokusera på finansiell ställning till att även inkludera teknisk robusthet.
| Dimension | Tidigare fokus | DORA:s fokus | Praktisk påverkan |
|---|---|---|---|
| Riskhantering | Huvudsakligen finansiella risker | Omfattande IKT-riskhantering | Krav på integrerade ramverk för digitala risker |
| Rapportering | Fragmenterad och nationell | Harmoniserad EU-standard | Enhetliga rapporteringsrutiner för incidenter |
| Tredjepartsleverantörer | Begränsad tillsyn | Direkt reglering och övervakning | Striktare krav på avtal och kontinuitetsplanering |
| Testning | Frivillig och ojämn | Obligatorisk hotbaserad testning | Regelbundna penetrationstester och scenarioövningar |
Bakgrund och kontext
DORA har skapats på grund av flera faktorer som har förändrat finansbranschens risklandskap. Den explosionsartade tillväxten av digitala finansiella tjänster har skapat nya sårbarheter.
Vi har sett en ökning av cyberhot mot finansiella institutioner. Attackerna har blivit mer frekventa och sofistikerade. Ransomware-attacker och avancerade beständiga hot (APT) är nu stora risker för stabilitet och kundförtroende.
Det ökade beroendet av tredjepartsleverantörer av molntjänster och IKT-funktioner har skapat nya risker. Många är nu beroende av samma leverantörer, vilket kan sprida problem över hela sektorn.
Före DORA fanns stora skillnader mellan EU-ländernas regler för operativa och tekniska risker. Detta skapade utmaningar för gränsöverskridande verksamhet och gjorde det svårt att upprätthålla en konsekvent säkerhetsnivå över hela marknaden.
Tillämpningsområde
DORA täcker praktiskt taget alla typer av finansiella företag i Europa. Det inkluderar banker, försäkringsbolag och investeringsfonder. Detta säkerställer att hela den finansiella värdekedjan följer enhetliga standarder för digital motståndskraft.
En viktig del av DORA är att tredjepartsleverantörer av IKT-tjänster nu kan bli föremål för direkt tillsyn. Detta gäller molntjänstleverantörer och IT-konsulter som är kritiska för finansiella institutioners verksamhet.
DORA etablerar ett proportionalitetsprincip. Kraven anpassas efter företagets storlek, komplexitet och riskprofil. Detta innebär att mindre institutioner kan ha enklare krav än större banker, men alla måste uppfylla grundläggande standarder.
DORA:s ursprung och utveckling
För att förstå DORA:s betydelse i dagens värld måste vi kika på dess historia. Den digitala omvandlingen av finansvärlden har gått snabbt under de senaste åren. Detta har skapat nya möjligheter men också visat på systemkritiska sårbarheter.
Det är viktigt att känna till DORA:s historia för att förstå dess värde. Det hjälper oss att vägleda våra kunder genom implementeringen. Det förbereder dem också för de kommande kraven.
EU:s vision för digitalisering
EU har länge strävat efter att digitalisera finanssektorn. De vill skapa en inre marknad där digitala finansiella tjänster kan levereras säkert och effektivt över nationsgränser. DORA är en viktig del av denna vision, genom att sätta upp gemensamma standarder för digital motståndskraft.
EU strävar efter att harmonisera regelverket för att finansiella aktörer ska kunna verka under lika villkor. De fokuserar också på att stärka cybersäkerheten i hela den finansiella ekonomin, inklusive externa leverantörer av IKT-tjänster.
EU erkänner att innovation och säkerhet måste balanseras. Detta gör det möjligt för teknologisk utveckling och robust riskhantering inom finanssektorn.
Tidigare regler och lagar
Före DORA var regler och lagar fragmenterade och sektorsspecifika. Det skapade utmaningar för organisationer som verkar över flera jurisdiktioner. Olika krav gällde för banker, försäkringsbolag och värdepappersföretag.
Kompletterande vägledningar fanns, men de saknade den omfattande harmoniseringen och IKT-fokuserade kraven som DORA nu introducerar. Samordningen med andra cybersäkerhetsdirektiv som NIS2 var otillräcklig, vilket ledde till överlappande krav och ineffektiv resursanvändning.
- Bristande konsistens mellan olika finansiella sektorer och tillsynsmyndigheter
- Otillräcklig täckning av tredjepartsleverantörer och molntjänster
- Avsaknad av standardiserade rapporteringskrav för IKT-incidenter
- Begränsade möjligheter för gränsöverskridande tillsyn och samarbete
Vi har hjälpt många organisationer genom detta komplexa landskap. Behovet av ett enhetligt regelverk blev tydligt när cyberhoten ökade och finanssektorns digitala beroende växte.
DORA:s antagande och införande
DORA antogs efter en noggrann lagstiftningsprocess som startade i september 2020. DORA implementering kräver omfattande förberedelser från finansiella institutioner och deras teknologiska partners. Förhandlingar mellan Europaparlamentet, Europeiska rådet och kommissionen resulterade i en politisk överenskommelse som balanserade olika intressen och sektorsspecifika behov.
Den 28 november 2022 antogs DORA-förordningen formellt av Europeiska rådet, vilket var det sista steget i lagstiftningsprocessen. Detta följdes av publicering i EU:s officiella tidning den 27 december 2022 som ”Regulation (EU) 2022/2554”. Förordningen började gälla den 17 januari 2023, men med en övergångsperiod på två år fram till den fullständiga tillämpningsdagen den 17 januari 2025.
Denna DORA tidslinje har varit ambitiös men strukturerad för att ge organisationer tillräckligt med tid att förbereda sig. Vi ser nu att tillämpningsdatumet närmar sig snabbt, och många organisationer intensifierar sina förberedelser.
| Datum | Milstolpe | Betydelse |
|---|---|---|
| September 2020 | Kommissionens förslag | Officiell lansering av DORA-initiativet |
| 28 november 2022 | Formellt antagande | Europeiska rådet godkänner förordningen |
| 27 december 2022 | Publicering i EU-tidning | Regulation (EU) 2022/2554 officialiseras |
| 17 januari 2023 | Ikraftträdande | Övergångsperioden på två år börjar |
| 17 januari 2025 | Full tillämpning | Alla krav måste vara implementerade |
Parallellt med huvudförordningen har de europeiska tillsynsmyndigheterna utvecklat tekniska tillsynsstandarder genom RTS (Regulatory Technical Standards) och ITS (Implementing Technical Standards). Dessa specificerar detaljerna i förordningens krav och ger praktisk vägledning för efterlevnad.
Implementeringen har krävt kontinuerlig uppmärksamhet och anpassning från berörda organisationer under hela övergångsperioden. Vi stödjer våra kunder genom att erbjuda verktyg och lösningar som förenklar denna process, inklusive moderna applikationer som gör det enklare att leva upp till.
Den strukturerade DORA tidslinje reflekterar EU:s pragmatiska förhållningssätt till komplex lagstiftning. Genom att ge tillräcklig övergångstid har lagstiftarna möjliggjort för organisationer att genomföra nödvändiga tekniska och organisatoriska förändringar utan att äventyra löpande verksamhet.
Vägen framåt kräver dock fortsatt fokus och dedikering. Som partner i denna transformation arbetar vi för att säkerställa att våra kunders DORA implementering blir framgångsrik. Vi vill att de inte bara uppfyller minimikraven utan också positionerar sig för framtida digitala utmaningar.
DORA:s centrala bestämmelser
Att förstå DORA:s centrala bestämmelser är viktigt för en stark compliance-strategi. Det hjälper er att bygga en bättre digital motståndskraft. DORA skapar ett ramverk för IKT-risker inom finanssektorn. Genom att följa dessa regler kan ni inte bara uppfylla kraven utan också få fördelar genom bättre säkerhet.
DORA består av 56 artiklar i 9 kapitel med 73 överväganden. Detta ger detaljerad vägledning för tolkning och implementering. Fem huvudpelare bygger upp en omfattande approach till digital motståndskraft. Detta inkluderar IKT-riskhantering, incidenthantering, testning av digitala system, hantering av IKT-tredjepartsrisker och informationsdelning om cyberhot.
Regler om cybersäkerhet
Cybersäkerhetsbestämmelserna i DORA är omfattande. De kräver att finansiella enheter har robusta IKT-ramverk baserade på internationella standarder. Vi hjälper er att implementera säkerhetsåtgärder som skapar värde för er verksamhet.
De centrala cybersäkerhetskraven inkluderar flera viktiga delar. Detta inkluderar robusta IKT-ramverk, lämpliga policies och procedurer, kontinuerlig övervakning, åtkomstkontroller och kryptering, samt detaljerad dokumentation.
- Robusta IKT-ramverk som baseras på internationella standarder och best practices för informationssäkerhet
- Lämpliga policies och procedurer för att identifiera, skydda, detektera, reagera på och återhämta från IKT-risker
- Kontinuerlig övervakning och regelbunden uppdatering av säkerhetsåtgärder för att möta nya hot
- Åtkomstkontroller och kryptering som skyddar känslig data och kritiska system
- Detaljerad dokumentation av alla IKT-system genom inventarier och riskregister
Dessa säkerhetsåtgärder måste integreras i er IT-infrastruktur. Detta uppfyller regulatoriska krav och stödjer er affärsmål. Vi ser att organisationer som proaktivt implementerar dessa krav ofta uppnår förbättrad operativ effektivitet och minskade säkerhetsincidenter.
Riskhantering och rapportering
Riskhantering och rapportering är centrala delar av DORA. Vi hjälper finansiella enheter att implementera omfattande processer som integreras med den övergripande riskhanteringen. Detta kräver ett systematiskt arbetssätt som kombinerar teknisk kompetens med affärsförståelse.
Organisationer måste genomföra regelbundna riskbedömningar och sårbarhetsanalyser. Detta identifierar potentiella hot innan de materialiseras. Ni behöver etablera processer för kontinuerlig utvärdering av er IKT-miljö.
| Rapporteringstyp | Tidsfrist | Innehåll | Mottagare |
|---|---|---|---|
| Initial rapport | 4 timmar efter upptäckt | Grundläggande incidentinformation och initial bedömning | Behörig tillsynsmyndighet |
| Mellanliggande rapport | 72 timmar efter initial rapport | Detaljerad analys, påverkan och vidtagna åtgärder | Behörig tillsynsmyndighet och ESA |
| Slutrapport | Inom en månad efter incident | Fullständig rotorsaksanalys och förebyggande åtgärder | Behörig tillsynsmyndighet och ESA |
Rapporteringskraven är mycket strikta och tidskritiska. Ni måste ha etablerade processer och verktyg för snabb incidenthantering. Vi rekommenderar att ni upprätthåller register över alla incidenter och åtgärder för kontinuerlig förbättring.
Informationsutbyte och samarbete
Informationsutbyte och samarbete är en viktig del av digital motståndskraft. Finansiella enheter uppmuntras att dela information om cyberhot och sårbarheter. Detta skapar en kollektiv försvarskapacitet för hela sektorn.
DORA regelkrav innehåller specifika bestämmelser för informationsdelning. Vi ser detta som en möjlighet för organisationer att stärka sina hotinformationstjänster genom samarbete med branschkollegor och myndigheter.
Förordningen innehåller viktiga skyddsmekanismer för informationsdelning. Detta säkerställer att delning inte strider mot konkurrenslagar eller dataskyddsbestämmelser. Det skapar en win-win-situation för alla parter.
Genom att implementera dessa bestämmelser kan ni skapa en robust compliance-strategi. Detta stärker er organisations operativa säkerhet och konkurrenskraft. Vi hjälper er att navigera dessa komplexa krav och omsätta dem till praktiska lösningar.
DORA:s påverkan på EU-länder
DORA skapar en ny era för cybersäkerhetsregler inom EU:s finanssektor. Det ersätter komplexa nationella regler med ett enhetligt ramverk. Detta leder till en harmonisering av finanssektorn som tidigare var omöjlig.
Med DORA får alla sektorer en enhetlig tillsyn. Detta gör att regler blir lika överallt i EU. DORA gäller direkt i alla medlemsstater utan att behöva implementeras nationellt.
Enhetligt regelverk över hela EU
DORA harmoniserar regler för den europeiska finansmarknaden. Det ersätter fragmenterade nationella bestämmelser med ett direkt tillämpligt regelverk. Detta innebär att samma krav gäller överallt i EU, utan undantag.
Detta skapar lika villkor för alla finansiella aktörer i EU. Detta är viktigt för våra kunder som verkar i flera länder. DORA säkerställer att samma krav på cybersäkerhet gäller överallt.
DORA är en förordning, inte ett direktiv. Detta innebär att medlemsstaterna inte behöver omvandla reglerna till nationell lagstiftning. Detta minskar risken för tolkningsskillnader och gör implementeringen snabbare.
Kvarvarande nationella variationer
Trots DORAs harmonisering finns fortfarande nationella skillnader. De största skillnaderna gäller hur tillsyn utövas. I Sverige är det Finansinspektionen som ansvarar för tillsynen.
De kvarvarande skillnaderna är främst processuella. Nationella myndigheter kan ha olika metoder för tillsyn. Detta inkluderar samarbete med andra myndigheter.
Vi betonar att dessa skillnader inte får undergräva den grundläggande harmoniseringen. De europeiska tillsynsmyndigheterna (ESAs) spelar en viktig roll i att säkerställa konsekvent tillämpning. Vårt uppdrag är att hjälpa kunder navigera både de enhetliga kraven och de nationella variationerna i tillsynspraxis.
| Aspekt | Harmoniserat genom DORA | Nationella variationer | Tillsynsansvar |
|---|---|---|---|
| Substantiella krav | Enhetliga cybersäkerhetskrav och riskhanteringsregler gäller lika i alla medlemsstater | Inga materiella skillnader tillåtna | Nationella behöriga myndigheter under ESAs koordinering |
| Tillsynsprocesser | Gemensamma ramverk och principer för tillsynsmetodik | Organisatoriska skillnader i hur myndigheter utövar tillsyn | Finansinspektionen i Sverige, motsvarande myndigheter i andra länder |
| Administrativa sanktioner | Ramverk för sanktionstyper och maxbelopp fastställt i DORA | Procedurer för sanktionshantering kan variera nationellt | Nationella myndigheter med rapporteringsskyldighet till ESAs |
| Myndighetssamverkan | Krav på koordinering mellan finansiella och cybersäkerhetsmyndigheter | Konkreta samverkansmekanismer anpassas efter nationella strukturer | Både nationell och europeisk nivå beroende på aktörens storlek |
Praktisk tillämpning i medlemsstaterna
Implementeringen av DORA kräver konkreta åtgärder från medlemsstaterna. Vi följer hur denna process utvecklas. Det påverkar hur våra kunder förbereder sig för efterlevnad.
Varje medlemsstat måste utse behöriga myndigheter för tillsyn. För Sverige innebär det att Finansinspektionen får ett utökat mandat. De måste ha rätt resurser och befogenheter för att utöva tillsyn enligt DORA:s krav.
Etablering av samarbetsmekanismer mellan nationella och europeiska tillsynsmyndigheter är kritisk. Detta är särskilt viktigt för tillsynen av kritiska IKT-tredjepartsleverantörer. Vi hjälper våra kunder att förstå hur denna flernivåtillsyn fungerar och vilka konsekvenser den har för deras leverantörsrelationer.
Medlemsstaterna måste också anpassa sina administrativa processer och sanktionsregimer. Detta inkluderar implementering av proportionella och avskräckande sanktioner för överträdelser. Vi betraktar detta som en kontinuerlig utvecklingsprocess där vägledning och praxis kommer att förfinas över tid genom tillsynserfarenheter och samarbete mellan myndigheter.
Vilka organisationer omfattas av DORA?
DORA sträcker sig långt bortom traditionella banker och försäkringsbolag. Den inkluderar hela den finansiella värdekedjan och deras kritiska teknikleverantörer. Det är viktigt att känna till om din organisation omfattas av DORA:s krav.
Vi ger en detaljerad genomgång av tillämpningsområdet. Detta hjälper dig att göra en korrekt bedömning och planera dina insatser för efterlevnad.
Omfattning DORA är bredare än många tror. Reglerna gäller för alla finansiella företag. Det inkluderar även tredjepartsföretag som levererar kritiska IKT-tjänster och lyder under europeiska tillsynsmyndigheter.
Finansiella institutioner
Finansiella institutioner som omfattas av DORA inkluderar alla typer av auktoriserade och reglerade finansiella företag inom EU. Det innebär att nästan hela den finansiella sektorn i Sverige står under Finansinspektionens tillsyn och måste följa enhetliga IKT-riskkrav.
Följande kategorier av finansiella enheter omfattas specifikt av regelverket:
- Kreditinstitut och banker – alla licensierade banker och kreditinstitut som tar emot insättningar och beviljar lån
- Värdepappersföretag och värdepappersbolag – företag som tillhandahåller investeringstjänster och handel med finansiella instrument
- Betalningsinstitut och e-penninginstitut – aktörer som erbjuder betaltjänster och elektroniska pengar
- Fondbolag och förvaltare – AIF-förvaltare och fondbolag som förvaltar UCITS-fonder
- Försäkrings- och återförsäkringsföretag – alla typer av försäkringsbolag samt försäkringsdistributörer och mellanhänder
- Tjänstepensionsinstitut – organisationer som tillhandahåller tjänstepensionslösningar
- Marknadsinfrastruktur – centrala motparter, centrala värdepappersförvarare och handelsregister för säkerhetsderivat
- Kryptotjänster – leverantörer av kryptotillgångar under MiCA-regelverket
- Datarapporteringstjänster – företag som tillhandahåller finansiell datarapportering
Detta omfattande tillämpningsområde för DORA finansiella sektorn innebär att alla organisationer som tidigare omfattades av olika nationella och EU-baserade regelverk nu måste anpassa sig till ett harmoniserat ramverk. Vi hjälper våra kunder att navigera denna övergång genom att identifiera specifika krav baserat på deras verksamhetstyp och storlek.
Tjänsteleverantörer
Tjänsteleverantörer som tidigare kanske inte betraktade sig som direkt reglerade inom finanssektorn omfattas nu av DORA om de tillhandahåller IKT-tjänster till finansiella enheter. Detta representerar en fundamental förändring i hur regelefterlevnad fungerar.
Dessa leverantörer kan bli klassificerade som kritiska IKT-tredjepartsleverantörer baserat på flera viktiga kriterier. Klassificeringen beror på systemvikt, substituerbarhet och komplexitet i de tjänster som tillhandahålls. Den tar också hänsyn till graden av beroende som finansiella enheter har till dem.
När en leverantör klassificeras som kritisk resulterar det i direkt EU-tillsyn från de europeiska tillsynsmyndigheterna (ESAs). Detta sker genom ett gemensamt tillsynsramverk som koordineras av ett ledande övervakande kontor, ett så kallat Lead Overseer.
För tjänsteleverantörer innebär detta konkret att de måste:
- Uppfylla specifika säkerhetskrav och dokumentationsstandarder
- Delta i regelbundna revisioner och granskningar från tillsynsmyndigheter
- Rapportera incidenter och störningar enligt fastställda procedurer
- Säkerställa transparens i sina underleverantörskedjor
- Implementera robusta exitstrategier och datamobilitetslösningar
Vi guidar våra kunder genom denna klassificeringsprocess och hjälper både finansiella enheter och deras leverantörer att förstå vilka skyldigheter som gäller. Genom att arbeta med DORA kan organisationer säkerställa att alla nödvändiga kontrollmekanismer är på plats.
Leverantörer av molntjänster
Leverantörer av molntjänster är särskilt uppmärksammade i DORA eftersom molntjänster har blivit kritisk infrastruktur för finanssektorn. Denna sektor har genomgått en dramatisk transformation där molnbaserade lösningar nu utgör ryggraden i många finansiella företags IT-miljöer.
Stora molnleverantörer som Amazon Web Services, Microsoft Azure och Google Cloud förväntas bli klassificerade som kritiska IKT-tredjepartsleverantörer. Detta innebär att de kommer att omfattas av direkt tillsyn och måste uppfylla specifika krav avseende flera centrala områden.
Säkerhet och tillgänglighet står i centrum för kraven på molnleverantörer. De måste garantera kontinuitet i tjänsteleveransen och ha robusta säkerhetsåtgärder på plats. Datamobilitet och flexibla exitstrategier är också obligatoriska komponenter.
Finansiella enheter som använder molntjänster måste samtidigt säkerställa att deras avtal med molnleverantörer uppfyller DORA:s specifika avtalsmässiga krav. Dessa inkluderar:
- Revisionsrättigheter – finansiella enheter och deras tillsynsmyndigheter måste ha rätt att revidera molnleverantörens verksamhet
- Underleverantörskedjor – fullständig transparens och kontroll över vilka underleverantörer som används
- Lokalisering av data och processer – tydlig dokumentation om var data lagras och processer utförs
- Exitklausuler – möjlighet att byta leverantör utan att förlora data eller funktionalitet
Vi hjälper våra kunder att navigera genom dessa komplexa avtalskrav genom noggrann avtalsgenomgång och förhandlingsstöd. Vårt mål är att säkerställa att alla molnbaserade lösningar inte bara möter tekniska standarder utan också uppfyller de regulatoriska krav som ställs.
Genom att förstå vilka organisationer som omfattas av regelverket kan företag ta proaktiva steg för att säkerställa efterlevnad. Regleringen riktar sig till de flesta företag som i dag står under Finansinspektionens tillsyn, vilket gör det avgörande att påbörja förberedelserna i god tid.
Krav och skyldigheter under DORA
Att förstå DORA:s krav är viktigt för att bygga en bra compliance-strategi. Det hjälper er att uppfylla regler och stärka er motståndskraft. Framgångsrik DORA efterlevnad innebär mer än bara att följa regler. Det handlar om att förbättra riskhantering och öka digital säkerhet.
Organisationer måste hantera risker inom IKT och rapportera incidenter i tid. De måste också regelbundet testa sin digitala motståndskraft. Detta är viktigt för att hantera risker från tredjepartsleverantörer.
Förbereda sig för efterlevnad
Starta förberedelserna för DORA långt innan 2025. Gör en omfattande gap-analys för att se skillnader mellan nuvarande tillstånd och kraven. Denna analys är grundstenen för implementeringen.
Gap-analysen kartlägger IKT-riskhanteringsprocesser och incidenthanteringskapaciteter. Identifiera gap baserat på risk och komplexitet.
För att strukturera förberedelserna, följ dessa steg:
- Förstå regelverket grundligt genom att analysera DORA:s artiklar och tekniska standarder från EBA
- Börja direkt med riskidentifiering genom att inventera alla IKT-system och bedöma deras kritikalitet
- Utveckla ledningssystem som integrerar IKT-riskhantering i övergripande företagsstyrning
- Involvera rätt intressenter från IT, risk, compliance, juridik och affärsenheter
- Identifiera kopplingar till andra regleringar som NIS2, GDPR och befintliga finansiella regelverk
- Främja informationsdelning om hot och sårbarheter både internt och med externa partners
- Se över leverantörsrelationer för att säkerställa att tredjepartsleverantörer uppfyller DORA:s krav
- Testa motståndskraften regelbundet genom penetrationstester och scenariobaserade övningar
En detaljerad implementeringsplan är viktig. Den ska ha tydliga milstolpar och ansvariga. Senior management och styrelsens engagemang är nödvändigt för att hantera IKT-risker.
Interna kontrollsystem
Interna kontrollsystem är kritiska för DORA efterlevnad. Vi förespråkar en trelinjemodell för att säkerställa ansvarsseparation och oberoende granskning.
Den första försvarslinjen består av affärs- och IKT-funktioner som äger och hanterar risker. Dessa team ansvarar för att identifiera, bedöma och mitigera risker.
Den andra försvarslinjen utgörs av oberoende riskhantering och compliance-funktioner. De utvecklar ramverk och säkerställer att riskhanteringen är konsekvent.
Den tredje försvarslinjen genom intern revision ger oberoende säkerhet. Revisionen bedömer om kontrollsystemen fungerar som avsett och identifierar förbättringsområden.
| Försvarslinje | Ansvar | Nyckelaktiviteter |
|---|---|---|
| Första linjen | Operativ riskhantering | Daglig IKT-drift, incidenthantering, implementering av säkerhetsåtgärder |
| Andra linjen | Oberoende övervakning | Policyutveckling, riskövervakning, compliance-kontroller, rapportering |
| Tredje linjen | Oberoende säkerhet | Revision av kontroller, utvärdering av effektivitet, rekommendationer |
DORA kräver att IKT-riskhanterande funktioner har adekvat kompetens. De måste ha oberoende från operativa roller där intressekonflikter kan uppstå. Detta kräver investering i kompetensutveckling och tydliga ansvarsområden.
Rapportering och övervakning
Rapportering och övervakning är viktiga för DORA efterlevnad. Organisationer måste ha processer för att klassificera IKT-relaterade incidenter. Detta baseras på deras allvarlighetsgrad och påverkan på verksamheten.
Större IKT-relaterade incidenter måste rapporteras till Finansinspektionen och andra myndigheter i tid. Detta kräver välfungerande incidenthanteringsprocesser.
| Rapporteringstyp | Tidsram | Innehåll |
|---|---|---|
| Initial anmälan | Inom 4 timmar | Grundläggande information om incidenten, omfattning och potentiell påverkan |
| Mellanliggande rapport | Inom 72 timmar | Detaljerad analys, pågående åtgärder, preliminär orsaksanalys |
| Slutrapport | När incidenten är löst | Fullständig orsaksanalys, vidtagna åtgärder, lärdomar och förbättringsåtgärder |
Organisationer måste ha detaljerade loggar och register över alla incidenter. Detta möjliggör trendanalys och kontinuerlig förbättring av säkerhetspositionering. Loggarna är också viktiga vid regulatoriska granskningar.
Kontinuerlig övervakning av IKT-system är nödvändig. Detta gör att man kan upptäcka avvikelser och säkerhetsbrott tidigt. Investering i modern säkerhetsövervakningsteknik är viktig.
Kompetens för att analysera och agera på säkerhetsdata i realtid är avgörande. Organisationer behöver både tekniska system och kvalificerad personal för att hantera hot effektivt.
DORA och GDPR
Inom dataskydd i finanssektorn är det viktigt att förstå DORA och GDPR. Många kunder är osäkra på hur dessa regler relaterar till varandra. Det påverkar hur de planerar för att följa reglerna och hur de använder resurser.
GDPR och DORA är båda EU-förordningar som gäller i alla EU-länder. De kräver att man skyddar information och system. Båda regler kräver också att man rapporterar säkerhetsincidenter till myndigheter.
Likheter och skillnader
Att förstå likheter mellan DORA och GDPR är viktigt för att använda resurser effektivt. Båda regler ger tillsynsmyndigheter stora befogenheter att kontrollera och bestraffa. De kräver också dokumentation och regelbunden översyn av säkerhetsåtgärder.
GDPR fokuserar på skydd av personuppgifter för individers rättigheter. Det är en horisontell lagstiftning som gäller alla sektorer. DORA fokuserar på IKT-säkerhet i finanssektorn, oavsett om personuppgifter är inblandade eller inte.
DORA är specifik för finanssektorn. Det fokuserar på operativ resiliens och IKT-säkerhet. Detta gäller alla IKT-system och tjänster, oavsett om de hanterar personuppgifter eller inte.
| Aspekt | GDPR | DORA |
|---|---|---|
| Tillämpningsområde | All personuppgiftsbehandling i alla sektorer | IKT-system och tjänster i finanssektorn |
| Primärt fokus | Skydd av individers dataskyddsrättigheter | Operativ resiliens och IKT-säkerhet |
| Rapporteringstid för incidenter | 72 timmar till Integritetsskyddsmyndigheten | Strikta tidsramar till Finansinspektionen |
| Tillsynsmyndighet i Sverige | Integritetsskyddsmyndigheten (IMY) | Finansinspektionen (FI) |
Integrering av regelverken
Vi rekommenderar att se GDPR och DORA som kompletterande regler. GDPR:s säkerhetskrav är en grundläggande standard. DORA kräver mer av IKT-riskhantering.
Att följa DORA kan också uppfylla GDPR:s säkerhetskrav. DORA kräver säkerhet för alla IKT-system, oavsett om de hanterar personuppgifter eller inte. Detta gör det möjligt att skapa ett integrerat och effektivt compliance-ramverk.
Incidentrapporteringsskyldigheter skiljer sig åt mellan reglerna. Personuppgiftsincidenter rapporteras till IMY enligt GDPR. IKT-incidenter rapporteras till FI enligt DORA.
Det är viktigt att ha tydliga processer för att avgöra när man ska rapportera till båda. Många organisationer behöver förbättra sina rutiner för att hantera denna dubbla rapporteringsskyldighet.
Säkerhetsåtgärder
Säkerhetsåtgärder för DORA stärker också GDPR:s krav. Vi identifierar flera viktiga områden som är relevanta för båda reglerna:
- Robust åtkomstkontroll som säkerställer att endast behöriga personer har tillgång till system och data
- Kryptering av känslig information både vid överföring och lagring
- Säkerhetsövervakning med kontinuerlig analys av loggar och säkerhetshändelser
- Incidenthantering med dokumenterade processer för upptäckt, respons och återställning
- Kontinuitetsplanering som säkerställer affärskontinuitet vid störningar
- Leverantörsstyrning med säkerhetskrav och regelbundna granskningar av tredjepartsleverantörer
Vi rekommenderar att organisationer integrerar sina compliance-program för DORA och GDPR. Detta innebär att samordna riskbedömningar och säkerhetsåtgärder. Funktioner såsom dataskyddsombud (DPO), informationssäkerhetsansvariga (CISO), och riskhanteringsfunktioner bör samarbeta nära för att undvika dubbelarbete.
Genom att ha en konsistent approach till informationssäkerhet och operativ resiliens blir det mer kostnadseffektivt och säkrare. Detta perspektiv på regelverk ger konkurrensfördelar genom bättre styrning och kontroll.
Utmaningar med att uppfylla DORA
DORA medför utmaningar som påverkar organisationer på många sätt. Mindre och medelstora företag står särskilt inför stora utmaningar. Detta gäller DORA implementering och inkluderar ekonomiska investeringar, tekniska uppgraderingar och kompetensutveckling.
För att tackla dessa utmaningar krävs en strukturerad plan. Det är viktigt att förstå regelverket grundligt och utveckla en implementeringsplan. Genom strategisk planering och användning av externa experter kan även mindre organisationer hantera utmaningar efterlevnad på ett effektivt sätt.
Resurser och kostnader
Finansiella organisationer måste investera stora resurser för att uppfylla DORA. Kostnaderna sträcker sig över flera områden, vilket är en stor ekonomisk utmaning. Mindre verksamheter med begränsade budgetar drabbas extra hårt.
Mänskliga resurser är en viktig del av DORA implementering. Organisationer behöver personal för IKT-riskhantering, säkerhet och compliance. Många har redan underbemannade avdelningar inom dessa områden, vilket gör utmaningen ännu större.
Finansiella investeringar krävs för att uppgradera teknisk infrastruktur och implementera nya säkerhetsverktyg. Organisationer måste budgetera för övervakningssystem, tredjepartsgranskningar och penetrationstester. Dessutom kan omförhandling av leverantörsavtal medföra ytterligare kostnader.
Organisatoriska resurser handlar om den tid och uppmärksamhet som ledning och styrelser måste lägga. Senior management måste fatta strategiska beslut och övervaka implementeringen. Detta är en investering som måste vägas mot potentiella sanktioner och kostnader för IKT-incidenter.
- Identifiera kopplingar till nuvarande regleringar för att undvika dubbelarbete
- Involvera rätt intressenter från början för effektiv resursallokering
- Utveckla ledningssystem som integrerar DORA-krav i befintliga strukturer
- Se över leverantörsrelationer och omförhandla avtal vid behov
Teknologiska krav
Teknologiska krav under DORA är omfattande och kräver stora uppgraderingar av IT-infrastruktur. Många organisationer måste modernisera sina säkerhetsarkitekturer för att möta nya standarder. Äldre system ställer särskilda krav eftersom de inte alltid uppfyller moderna resiliensstandarder.
Implementation av moderna säkerhetsövervakningstjänster är centralt för compliance. Security Operations Center (SOC) eller motsvarande tjänster möjliggör kontinuerlig övervakning och hotdetektering. Dessa system måste kompletteras med robusta lösningar för sårbarhetshantering och patch-hantering.
Avancerad åtkomstkontroll och privilegierad åtkomsthantering (PAM) måste införas enligt regelverket. Säkerhetskopierings- och återställningslösningar med geografisk redundans blir nödvändiga komponenter. Krypteringslösningar för data i rörelse och i vila utgör ytterligare tekniska krav som organisationer måste uppfylla.
Organisationer med betydande teknisk skuld står inför stora utmaningar. Modernisering av legacy-system kräver både tid och betydande investeringar. Trots begränsade budgetar måste dessa investeringar prioriteras för att uppfylla DORA:s krav.
| Teknologiskt område | Krav enligt DORA | Typisk utmaning | Rekommenderad åtgärd |
|---|---|---|---|
| Säkerhetsövervakning | SOC-tjänster och kontinuerlig monitoring | Höga initialkostnader och kompetensbrist | Överväg managed security services |
| Sårbarhetshantering | Systematisk identifiering och åtgärdande | Integration med befintliga system | Testa motståndskraften regelbundet |
| Backup och återställning | Geografisk redundans och snabb återhämtning | Komplexitet i multi-site lösningar | Implementera stegvis med pilotprojekt |
| Legacy-system | Uppgradering till moderna säkerhetsstandarder | Teknisk skuld och budgetbegränsningar | Prioritera kritiska system först |
Utbildningsbehov
Utbildningsbehov är omfattande på alla nivåer i organisationen för att säkerställa regelefterlevnad. Utmaningar efterlevnad kommer ofta från brist på kunskap snarare än brist på vilja. Ett strukturerat utbildningsprogram är avgörande för framgångsrik implementation.
Styrelseledamöter måste förstå IKT-risker och sitt tillsynsansvar enligt DORA. Senior management behöver kunskap för att fatta informerade beslut om investeringar och prioriteringar. Denna nivå av förståelse är kritisk för att säkerställa att operativ motståndskraft blir en strategisk prioritet.
Medarbetare i första försvarslinjen spelar en viktig roll i att identifiera risker. De behöver förstå sina roller i den dagliga hanteringen av IKT-risker. Specialister inom IKT-säkerhet och riskhantering kräver uppdaterad teknisk kompetens kring moderna hot och försvarsmekanismer.
Compliance-funktioner måste förstå DORA:s specifika krav och hur de ska tolkas. Detta kräver specialiserad regulatorisk utbildning som går bortom allmän cybersäkerhetsmedvetenhet. Vi betraktar detta som en investering i mänsklig kapacitet som kommer att betala sig långsiktigt.
- Börja direkt med grundläggande cybersäkerhetsutbildning för alla medarbetare
- Främja informationsdelning om cyberhot inom organisationen
- Utveckla en kultur av operativ motståndskraft genom kontinuerlig träning
Ett kontinuerligt utbildningsprogram sträcker sig från allmän medvetenhet till specialiserad teknisk kompetens. Denna investering förbättrar inte bara compliance utan stärker hela organisationens riskkultur. Genom att prioritera kompetensutveckling bygger finansiella organisationer långsiktig resiliens som går utöver själva regelverket.
Framtiden för DORA
DORA är inte bara en regel. Det är en ram som växer med den digitala världen. Kommande år kommer att se många förändringar och förbättringar. Detta beror på nya tekniker och förändrade hot mot cybersäkerhet.
Framtida regelkrav måste balansera innovation med säkerhet. För finanssektorn betyder det att man ständigt måste anpassa sig. Det kräver flexibilitet och förmåga att ändra.
Potentiella förändringar och justeringar
DORA ska regelbundet granskas. Europeiska kommissionen ska se till att reglerna fungerar. Dessa granskningar kommer att leda till nya förändringar.
De tekniska standarderna kan ändras ofta. Detta gör att tillsynsmyndigheter kan snabbt anpassa kraven. De behöver inte alltid göra stora lagändringar.
Vi rekommenderar att organisationer skapar processer för regulatorisk övervakning. Det är viktigt att följa med i de europeiska tillsynsmyndigheternas publikationer. Man bör också delta i forum där framtida regelkrav diskuteras.
Internationell påverkan
EU är ofta pionjär inom finansiell reglering. DORA:s sätt att se på digital operativ resiliens väcker intresse världen över. Det kan inspirera regler i andra länder också.
Finansiella institutioner och teknologileverantörer som verkar globalt kommer att följa DORA. Detta gör riskhanteringen över gränser enklare. Det är en stor fördel för multinationella företag.
Länder som Storbritannien, Schweiz, Singapore och Hong Kong utvecklar liknande ramverk. Vi följer dessa utvecklingar. De påverkar hur globala företag måste strukturera sig för att uppfylla liknande krav.
Den internationella påverkan skapar både möjligheter och utmaningar. Global konvergens av standarder kan förenkla compliance. Men det finns också risk för komplexitet mellan olika jurisdiktioner.
DORA i en digital tidsålder
Teknologin utvecklas snabbt. DORA måste därför utvecklas kontinuerligt. Det är viktigt för att hantera nya risker inom finanssektorn.
Artificiell intelligens och maskininlärning skapar nya möjligheter. Men de skapar också nya sårbarheter. Vi förväntar oss att DORA kommer att kräva mer om AI-säkerhet och transparens.
Kvantdatorer är en annan utmaning. De kan göra nuvarande krypteringsstandarder föråldrade. När kvantsäker kryptografi blir tillgänglig kommer det att bli viktigt för framtida DORA-compliance.
| Teknologiområde | Nuvarande status | Förväntad påverkan på DORA | Tidshorisont |
|---|---|---|---|
| Artificiell intelligens | Ökande användning i finansiella system | Nya krav på AI-governance och transparens | 2025-2027 |
| Kvantdatorer | Forskning och tidig utveckling | Krav på kvantsäker kryptografi | 2028-2032 |
| Blockchain och DLT | Pilot-projekt och begränsad användning | Anpassade resiliens-ramverk för distribuerade system | 2026-2029 |
| 5G och edge computing | Pågående utrullning | Uppdaterade nätverkssäkerhetskrav | 2025-2026 |
Cyberhoten blir allt mer sofistikerade. Nationalstatsaktörer och organiserade kriminella grupper utvecklar avancerade metoder. Vi tror att framtida regelkrav kommer att kräva bättre förmåga att hantera dessa hot.
Vi rekommenderar att organisationer tänker framåt med DORA-compliance. Det är bättre att vara proaktiv än reaktiv. Det gör att man kan anpassa sig till framtida krav utan stora omstruktureringar.
Den digitala tidsåldern kräver nya sätt att tänka om resiliens. DORA:s framtid kommer att formas av samarbete mellan regulatorer, finansiella institutioner och teknologileverantörer. Tillsammans ska de skapa en säkrare och mer motståndskraftig finanssektor.
Sammanfattning av DORA som lagkrav
DORA, som trädde i kraft i januari 2025, ger finanssektorn ett nytt ramverk. Detta ramverk är viktigt för att stärka er digitala operativa motståndskraft. Det hjälper er också att skapa konkurrensfördelar på marknaden.
DORA är en EU-förordning (Regulation (EU) 2022/2554) som publicerades den 27 december 2022. Den gäller nu för finansiella företag och deras IKT-tjänstleverantörer. Det innebär att alla inom EU måste följa dessa lagar.
Normer och skyldigheter
DORA har fem huvudpelare med specifika krav. Dessa krav bygger upp er digitala operativa resiliens. De täcker hela livscykeln av IKT-riskhantering.
Den första pelaren handlar om IKT-riskhantering. Finansiella enheter måste ha ett ramverk för att skydda sig. Detta ramverk ska täcka allt från identifiering till återställning.
Den andra pelaren fokuserar på incidenthantering. Organisationer måste kunna klassificera, hantera och rapportera incidenter. Detta gör att de kan följa lagarna på ett transparent sätt.
Den tredje pelaren kräver regelbundna tester av digital operativ resiliens. Större enheter måste genomföra avancerade tester vart tredje år. Detta är för att se hur starka systemen är.
Den fjärde pelaren handlar om IKT-tredjepartsrisker. Organisationer måste ha strategier för att hantera dessa risker. De måste också ha register över avtal med IKT-leverantörer.
Den femte pelaren uppmuntrar till informationsdelning om cyberhot. Enheter uppmanas att dela information för att stärka sektorns försvar mot cyberhot. Detta skapar ett mer robust finansiellt ekosystem.
Avsnitt om efterlevnad
DORA har tydliga regler för efterlevnad. Finansinspektionen är den myndighet som övervakar de flesta finansiella enheter i Sverige. De har stora befogenheter för att se till att reglerna följs.
Finansinspektionen kan begära information, genomföra inspektioner och kräva åtgärder. De kan också ge administrativa sanktioner om reglerna inte följs.
Sanktioner kan vara böter baserade på företagets storlek. Detta visar hur allvarligt det är att följa reglerna. Sanktionerna ska motivera organisationer att prioritera digital operativ resiliens.
DORA har en tvånivå-tillsynsstruktur. Nationella myndigheter som Finansinspektionen övervakar finansiella enheter. Men, kritiska IKT-tredjepartsleverantörer övervakas av EU-myndigheter.
Detta skapar en enhetlig tillsyn över hela EU. Det är viktigt för att säkerställa lika villkor och undvika ojämnhet.
Viktiga tidslinjer och datum
Det är viktigt att känna till DORA:s tidslinje. Vi har sammanställt de viktigaste datumen för er.
- 27 december 2022: DORA-förordningen publicerades i EU:s officiella tidning som Regulation (EU) 2022/2554, vilket markerade den formella starten för regelverket.
- 17 januari 2023: Förordningen trädde i kraft, vilket innebar att tvåårig övergångsperiod startade och organisationer fick tid att förbereda sig.
- 17 januari 2025: DORA blev fullt tillämplig, vilket är det datum då alla krav måste vara uppfyllda och efterlevnad måste vara på plats i verksamheten.
- 2024-2025: De tekniska tillsynsstandarderna (RTS och ITS) har publicerats gradvis med olika tillämpningsdatum för olika aspekter av regelverket.
Organisationer måste nu säkerställa kontinuerlig efterlevnad. Detta innebär regelbundna självbedömningar och interna revisioner. Finansinspektionen kommer att öka sin tillsyn av DORA-efterlevnad under 2025 och framåt.
Det är viktigt att ha robusta system och processer på plats redan nu. Ni måste kunna visa upp dokumentation och processer för att er system uppfyller DORAs krav. Se efterlevnad som en del av er verksamhetsstyrning.
Genom att se DORA som ett strategiskt ramverk kan ni stärka er digitala operativa resiliens. Detta kan hjälpa er att bygga förtroende hos kunder och investerare. Vi är här för att stödja er på den här resan.
Frågor och svar om DORA
Vi svarar på vanliga DORA-frågor från finanssektorn. Rätt information är viktig för att lyckas med DORA.
Vanliga frågeställningar från branschen
Är DORA ett lagkrav? Ja, det är en EU-förordning som gäller i alla medlemsländer. Finansinspektionen övervakar efterlevnaden och kan ta åtgärder om ni inte följer reglerna.
Gäller regeln även för mindre företag? Om ni är under Finansinspektionens tillsyn måste ni följa kraven. Hur mycket ni måste göra beror på er storlek och komplexitet.
Hur står DORA till i förhållande till NIS2-direktivet? DORA gäller för finanssektorn och är viktigare. Vissa måste följa båda beroende på vad ni gör.
Rekommenderade informationskällor
Finansinspektionens webbplats har guider och uppdaterad DORA-info. Europeiska kommissionens sida har förordningstexter. EBA, ESMA och EIOPA har tekniska standarder för implementering.
Viktiga begrepp att känna till
Digital operativ resiliens är förmågan att fungera vid IT-störningar. IKT-relaterade incidenter är händelser som påverkar tillgänglighet och integritet. TLPT är avancerad hotbaserad penetrationstestning som simulerar cyberattacker.
Vi hjälper er genom hela DORA-resan. Vi erbjuder skräddarsydd rådgivning anpassad efter era behov.
FAQ
Är DORA verkligen ett lagkrav eller bara riktlinjer?
DORA är ett lagkrav, inte bara riktlinjer. Det är en EU-förordning som måste följas av alla organisationer. Om man inte gör det kan det leda till tillsynsåtgärder och sanktioner.
Gäller DORA även för vårt företag om vi är små?
Ja, DORA gäller för alla finansiella enheter, oavsett storlek. Det finns vissa undantag baserat på storlek och komplexitet. Men det är viktigt att följa DORA för att undvika problem.
Vad händer om vi inte uppfyller DORA-kraven i tid?
Om ni inte följer DORA kan Finansinspektionen ta åtgärder. Detta kan innefatta krav på åtgärdsplaner och restriktioner i er verksamhet. Det kan också leda till böter och skada på er rykte.
Hur förhåller sig DORA till NIS2-direktivet?
DORA och NIS2 är två olika regler. DORA är specifikt för finanssektorn, medan NIS2 gäller för flera sektorer. Ni måste följa båda, beroende på er verksamhet.
Vad är skillnaden mellan DORA och GDPR?
GDPR fokuserar på dataskydd för individer. DORA fokuserar på operativ resiliens inom finanssektorn. Båda är viktiga, men DORA är mer specifik för er bransch.
Måste vi rapportera alla IKT-incidenter till Finansinspektionen?
Ni måste rapportera större IKT-incidenter till Finansinspektionen. Detta gäller för incidenter som påverkar er verksamhet. Ni måste också ha loggar och register för alla incidenter.
Omfattar DORA våra molntjänstleverantörer?
Ja, DORA gäller för IKT-tjänster från leverantörer. Stora molnleverantörer som AWS och Google Cloud kommer att omfattas av EU-tillsyn. Ni måste säkerställa att era avtal med dem uppfyller DORA-kraven.
Vilka är de fem huvudpelarna i DORA?
DORA har fem huvudpunkter. Det inkluderar IKT-riskhantering, incidentrapportering, testning av operativ resiliens, hantering av IKT-tredjepartsrisker, och informationsdelning om cyberhot. Varje punkt är viktig för att följa DORA.
Vad är TLPT och måste alla genomföra det?
TLPT är en form av penetrationstestning. Det krävs inte för alla, bara för större och kritiska organisationer. Ni måste genomföra TLPT vart tredje år om ni omfattas av kraven.
När träder DORA i kraft och vad är deadline för efterlevnad?
DORA trädde i kraft den 17 januari 2023. Ni måste följa DORA från den 17 januari 2025. Det finns ingen förlängd deadline, så ni måste börja arbeta med det nu.
Vem är tillsynsmyndighet för DORA i Sverige?
Finansinspektionen är tillsynsmyndighet för DORA i Sverige. De har rätt att begära information och genomföra inspektioner. Det är viktigt att följa DORA för att undvika sanktioner.
Vilka kostnader kan vi förvänta oss för DORA-implementering?
DORA kräver investeringar i personal, teknik och processer. Kostnaderna varierar beroende på er organisation. Men det är viktigt att tänka på de långsiktiga fördelarna och kostnaderna för att inte följa DORA.
Hur integrerar vi DORA med våra befintliga compliance-program?
Integrera DORA med era compliance-program för att undvika dubbelarbete. Det är viktigt att ha en gemensam strategi för att följa DORA och andra regler. Det hjälper er att visa att ni följer reglerna på ett effektivt sätt.
Vad händer med DORA efter Brexit för brittiska företag?
DORA gäller inte för brittiska företag efter Brexit. Men Storbritannien har sina egna regler för operativ resiliens. Ni måste följa dessa regler för att vara kompatibla med DORA.
Omfattar DORA även icke-finansiella tredjepartsleverantörer?
Ja, DORA gäller för alla IKT-tjänster, oavsett om leverantören är finansiell eller inte. Större leverantörer kommer att omfattas av EU-tillsyn. Ni måste säkerställa att era avtal med dem uppfyller DORA-kraven.
Hur ofta måste vi rapportera om vår DORA-efterlevnad till Finansinspektionen?
Ni måste rapportera större IKT-incidenter till Finansinspektionen. Det är också viktigt att ha alltid dokumentation redo för inspektioner. Det hjälper er att visa att ni följer DORA.