Vad har EU-byråkraterna hittat på nu?
DORA-förordningen är EU:s sätt att säga till finansbranschen att det är dags att levla upp informationssäkerhetsarbetet. Förordningen innebär ingående krav på företag inom den finansiella sektorn, framförallt riktade mot IKT-aspekter (informations- och kommunikationsteknologi). Det är krav på bl.a. riskhantering, både internt och i förhållande till tredjepartsleverantörer.
DORA-förordningen gäller för många (både stora och små) aktörer i den finansiella sektorn, såsom kreditinstitut, värdepappersföretag, handelsplatser, transaktionsregister, försäkringsföretag, tjänstepensionsinstitut och kreditvärderingsinstitut, samt för deras leverantörer av IKT-tjänster. Kraven kan exempelvis gälla i förhållande till tjänster din verksamhet använder för direktbetalningar, molntjänstleverantörer och andra plattforms- eller teknikleverantörer, men ska också tillämpas direkt av den som levererar sådana tjänster.
Informations- och kommunikationsteknologi pekas ut som avgörande för den finansiella sektorns verksamhet. Användningen av sådan teknologi innebär effektivitetsvinster, men också sårbarheter, exempelvis genom risken för att man inte har full insyn i informationssäkerhetsarbetet hos en tredjepartsleverantör. DORA-förordningen syftar till att hantera de här riskerna.
Att glömma bort sin DORA-compliance kan bli kostsamt. Förutom att verksamheten kan vara utsatt för risk om den inte bedrivs i enlighet med kraven i DORA-förordningen kan man bli föremål för tillsyn och sanktionsavgifter. Exempelvis kan en IKT-leverantör få betala vite på upp till 1 % av den genomsnittliga globala omsättningen – per dag.
En tung förordning kommer sällan ensam
DORA-förordningen kommer med sina matiga 79 sidor tillsammans med bl.a. NIS 2- och CER-direktiven i en samlad ansats från EU att hantera risker, både utifrån den ökade digitaliseringen och i förhållande till andra faror, såsom naturkatastrofer. DORA-förordningen är en s.k. sektorspecifik rättsakt i förhållande till NIS 2- och CER-direktiven, och har därmed företräde framför dem i förhållande till den finansiella sektorn. DORA-förordningens krav är mer detaljerade än NIS 2- och CER-direktiven, och eftersom det är en förordning blir den omedelbart tillämplig den 17 januari, till skillnad från direktiven som förutsätter nationell implementation och lagstiftning. Eftersom flera regler är gemensamma, bl.a. genom att DORA-förordningen på många ställen hänvisar till NIS 2-direktivet, är det samtidigt viktigt att ha förståelse för alla rättsakterna. Min kollega Lena Forsmark har skrivit mer om vad som gäller för NIS 2-direktivet.
Hur jobbigt blir det?
Förordningen gäller för de flesta verksamma inom den finansiella sektorn, vilka benämns finansiella entiteter. Det är en hel del som ska göras. De finansiella entiteterna ska ha en sund, heltäckande och väldokumenterad IKT-riskhanteringsram som en del av sitt övergripande riskhanteringssystem. IKT-riskhanteringsramen ska göra det möjligt för de finansiella entiteterna att snabbt, effektivt och heltäckande hantera IKT-risk och säkerställa en hög nivå av digital operativ motståndskraft. Riskhanteringsramen ska omfatta en strategi för digital operativ motståndskraft som ska innehålla praktiska beskrivningar av mekanismer för IKT-riskhantering. Det ska även finnas en bedömning av riskerna i förhållande till tredjepartsleverantörer, vilket ställer krav på verksamhetens inköpare, då detta behöver dokumenteras i samråd med leverantören och täckas av avtalen. Arbetet med att identifiera IKT-risker ska ske fortlöpande och därför behöver det framgent att täckas in i vad som omfattas av den generella leverantörsstyrningen; i strategiska, taktiska och operativa möten.
DORA-förordningen innebär också specifika krav på strategier och förfaranden för säkerhetskopiering och återställning, i syfte att säkerställa minsta möjliga driftstopp vid en incident. Det finns också krav på rapportering av incidenter till myndigheterna. Entiteterna ska därutöver ha ett program för testning av verksamhetens digitala operativa motståndskraft, som ska innehålla bestämmelser om utförande av lämpliga tester, såsom sårbarhetsanalyser, källkodsgranskningar, scenariobaserade tester och penetrationstester. Vissa entiteter ska dessutom minst vart tredje år genomföra avancerade tester med hjälp av hotbildsstyrd penetrationstestning.
Ett axplock av frågor att börja tänka på inför DORA
Har ni redan ett proaktivt tänk och bedriver ett aktivt informationssäkerhetsarbete är det inte säkert att DORA-förordningen blir en så stor smäll som den kan bli för verksamheter som prioriterat ner sitt säkerhetsarbete. Nedan är en inkomplett checklista med frågeställningar att börja med (den kompletta checklistan kan jag och mina kollegor hjälpa er med sen, *host host*)
- Omfattas vår verksamhet av DORA-förordningen? I vilken utsträckning gäller kraven för oss?
- Vad ska ingå i den IKT-riskhanteringsram som måste upprättas?
- Vilka av våra tredjepartsleverantörer av IKT-tjänster omfattas av vårt ansvar enligt DORA-förordningen?
- Hur ska vi utforma våra avtal med sådana tredjepartsleverantörer?
- Hur identifierar och klassificerar vi våra funktioner i enlighet med DORA-förordningens krav?
- Vilka krav ska vi ställa när vi köper in hård- och mjukvara och tjänster?
- Behöver vi vidta några konkreta åtgärder i vår verksamhet och system för att uppfylla DORA-förordningens krav på bl.a. informationssäkerhet, säkerhetskopiering och reservkapacitet?
- Vilka åtgärder ska vi vidta för att förebygga incidenter och upptäcka onormal verksamhet?
- Hur samlar vi in information om sårbarheter och cyberhot?
- Vilka metoder och tekniker ska vi använda oss av för att testa våra system?
- Hur upprättar vi en kriskommunikationsplan?
- Hur uppfyller vi kraven på rapportering om en incident har inträffat?
Vi står till buds med allt som behövs
På Forefront har vi den bredd av kompetens som krävs för att råda bot på din DORA-ångest. Våra duktiga jurister kan ta hand om helheten i ert compliance-arbete. Läs mer om Forefront Legal Services här. Därutöver kan exempelvis våra skickliga inköpskonsulter se till att du har leverantörer som möter förordningens krav. Dessutom har vi alla andra kompetenser som kan behövas för att säkerställa efterlevnad av DORA-förordningens krav, till exempel projektledare, informationssäkerhetsexperter, hållbarhetsexperter och analytiker. Kort sagt – vi kan hjälpa er med allt som behövs inför ikraftträdandet och det efterföljande kontinuerliga arbete som krävs. Allt från ett helhetsgrepp till att toppa ert lag med den spetskompetens ni behöver komplettera med.
/Staffan Uhlmann
Senior juristkonsult inom tech och informationssäkerhet på Forefront