Arbetet med att stärka den digitala säkerheten inom EU fortsätter. Strax efter att NIS 2-direktivet hade klubbas igenom togs beslutet om ytterligare åtgärder för att förbättra unionens cybersäkerhet. Förordning (EU) 2022/2554, mer känt som DORA-förordningen (Digital Operational Resilience Act), trädde i kraft den 16 januari 2023 och ska börja tillämpas från den 17 januari 2025. Detta innebär att berörda organisationer har mindre än 17 månader på sig att uppfylla förordningens krav.

DORA-förordningen riktar sig till företag i finanssektorn — exempelvis banker, andra kreditinstitut, försäkringsbolag och värdepappersföretag. Utvecklingen och den ökande användningen av information- och kommunikationsteknologi (IKT) har lett till fundamentala förändringar i hur dessa företag bedriver sin verksamhet. Samtidigt har utvecklingen en baksida: ett ökat beroende av IKT-tjänster gör finanssektorn särskilt sårbar för cyberhot och tekniska problem. Det finns dessutom stora luckor i hanteringen av IKT-risker, både på europeisk och nationell nivå. IKT-säkerheten inom finanssektorn kräver därför en mer skräddarsydd reglering än vad NIS 2-direktivet kan erbjuda.

DORA eller NIS 2?

Vid en ytlig granskning kan det tyckas överflödigt med två EU-rättsakter som verkar fylla samma funktion. Det finns dock viktiga skillnader. NIS 2 är ett direktiv, det vill säga en vägledande rättsakt som måste implementeras i nationell lag. DORA är däremot en förordning, en omedelbart bindande rättsakt som gäller i alla medlemsstater så snart den träder i kraft. I NIS 2 ligger fokus på generell cybersäkerhet, medan DORA behandlar finanssektorns stabilitet och ställer högre krav på säkerhetstestning. De två rättsakterna kompletterar därför varandra, , och om ditt företag faller under DORA:s regelverk har denna förordning företräde.

Vad krävs enligt DORA?

DORA driver förändringar i riskhanteringen och sätter press på företagsledningar att förstå och begränsa risker. Finansiella företag ska följa DORA-förordningen i proportion till sin storlek och riskprofil. Mindre organisationer kan använda enklare metoder för riskhantering, men förväntas ändå ha en sund IKT-riskhantering. Förordningens kravspecifikationer kan delas in i följande huvudområden:

1. Riskhantering inom IKT.

Finansiella företag ska ha interna ramar för IKT-riskhantering, där ledningen har ansvar för säkerhet och kontroll. Dessa ramar ska integreras i företagets totala riskhantering, granskas regelbundet och inkludera planer för kontinuitet och incidenthantering.

2. Rapportering och informationsutbyte.

Finansiella företag måste ha system för att hantera och rapportera IKT-incidenter och skydda kunder. Incidenter ska kategoriseras och allvarliga fall måste rapporteras till myndigheter och berörda kunder.

3. Testning av digital motståndskraft.

Finansföretag ska ha ett program för att testa IT-säkerhet, inklusive regelbundna penetrationstester. Brister ska åtgärdas, och resultat rapporteras till myndigheterna, som utfärdar certifikat.

4. Hantering av risker kopplade till tredjepart och krav relaterade till leverantörsavtal.

Finansiella aktörer måste integrera IKT-tredjepartsrisker i sin riskstrategi och följa förordningens krav även vid outsourcing. En årlig rapport och ett register över alla IKT-tredjepartsavtal krävs. Riskbedömningar bör göras vid avtalsingång och leverantörer ska uppfylla säkerhetsstandarder. Avtal ska vara klara och detaljerade, inklusive exit-strategier för kritiska tjänster.

Europeiska tillsynsmyndigheter arbetar med att fastställa tekniska IKT-säkerhetsstandarder, standarder för testövervakning och kriterier för klassificering av IKT-incidenter, samt med att identifiera kritiska IKT-tredjepartsleverantörer.

DORA - Vad tycker Nimblr?

Sett ur ett cybersäkerhetsperspektiv är både NIS 2 och DORA nödvändiga bestämmelser. Cyberhot är ett globalt problem som inte kan bemötas enbart på nationell eller regional nivå, och inte heller helt utan ansträngning. Vår online-närvaro behöver bli lite mer “omständlig”, och vi behöver bli mer säkerhetsmedvetna.

Artikel 13.6 i DORA-förordningen fastställer:

“Finansiella entiteter ska utarbeta program för medvetenhet om IKT-säkerhet och utbildning om digital operativ motståndskraft som obligatoriska moduler i sina personalutbildningsprogram. Dessa program och utbildningar ska gälla för alla anställda och personer i ledande ställning, och deras komplexitet ska motsvara behörigheten för personens roll. När så är lämpligt ska finansiella entiteter också inkludera tredjepartsleverantörer av IKT-tjänster i sina relevanta utbildningar, i enlighet med artikel 30.2 i.”

Träning i 'Security Awareness' är ett sätt att förbereda både individer och organisationer för cyberhot, och det ökar förmågan att bedöma cybersäkerhetsrisker. Nimblr erbjuder denna typ av träning, samt utbildning, information och återkoppling. Vi ger också kunden möjlighet att mäta tjänstens effektivitet och användarnas utveckling genom vår 'Awareness Level'.

Utöver dessa befintliga tjänster utforskar vi möjligheter att utveckla tjänster som kan stödja våra "DORA-klassade" kunder i deras säkerhetsarbete, till exempel genom rapporteringsstöd och testfunktioner. Förslag på möjliga tilläggstjänster är mycket välkomna. Ni kan era organisationer, vi kan cybersäkerhet.

DORA-förordningen är tillämplig på följande entiteter:

(For further details, refer to Regulation (EU) 2022/2554, Article 2).

Betalning och transaktion:

• Kreditinstitut
• Betalningsinstitut
• Leverantörer av kontoinformationstjänster
• Electronic money institutions
  

Värdepapper och handel:

• Värdepappersföretag
• Värdepapperscentraler
• Centrala motparter
• Handelsplatser
• Trade repositories
  

Investering och fondhantering:

• Förvaltare av alternativa investeringsfonder
• Förvaltningsbolag

(Exceptions for managers of alternative investment funds under Article 3(2) of Directive 2011/61/EU).

Kredit och finansiering:

• Kreditvärderingsinstitut
• Leverantörer av kryptotillgångstjänster
• Crowdfunding service providers
  

Försäkring:

• Försäkrings- och återförsäkringsföretag
• Försäkringsförmedlare
• Återförsäkringsförmedlare

(Exemptions for insurance and reinsurance undertakings as defined in Article 4 of Directive 2009/138/EC, insurance intermediaries, reinsurance intermediaries, and ancillary insurance intermediaries which are microenterprises or small or medium-sized enterprises).

Pension och social trygghet:

• Tjänstepensionsinstitut

(Exceptions for institutions for occupational retirement provision that operate pension schemes which together do not have more than 15 members in total).

Data och teknologi:

• Leverantörer av datarapporteringstjänster
• ICT third-party service providers
  

Övriga finansiella aktörer:

• Värdepapperiseringsregister
• Administratörer av kritiska referensvärden

(Undantag görs för fysiska eller juridiska personer undantagna enligt artiklarna 2 och 3 i direktiv 2014/65/EU, samt för postgiroinstitut enligt artikel 2.5.3 i direktiv 2013/36/EU.)