DORA-reglugerðin

Framkvæmdastjórn Evrópusambandsins birti fyrstu drög að DORA-reglugerðinni árið 2020 í því skyni að:

• Samræma öryggi upplýsinga- og fjarskiptatækni og stafræns viðnámsþrótts fyrir fjármálafyrirtæki og fyrirtæki sem veita þjónustu á sviði upplýsinga- og fjarskiptatækni innan ESB.
• Styrkja gildandi lög og reglugerðir til að styðja við stafræna stefnu ESB um fjármálaþjónustu.
• Styðja við stafræna vegferð fjármálaþjónustu ESB.
• Skapa ramma fyrir evrópskar eftirlitsstofnanir (ESA) til að auka þátttöku í eftirliti með því að kröfum DORA sé fylgt.

Lokaútgáfa DORA kom út þann 16. janúar 2023. Með útgáfunni hófst 24 mánaða innleiðingartímabil þar sem fyrirtækjum er gert kleift að koma á laggirnar viðeigandi ráðstöfunum og aðgerðum svo kröfur reglugerðarinnar séu uppfylltar. Þau fyrirtæki sem falla undir DORA ættu því að hefjast handa við undirbúning sem allra fyrst.

Þessu til viðbótar þurfa fyrirtæki einnig að hafa í huga innleiðingu á stefnuskjölum, þ.m.t. svonefndum tæknilegun eftirlitsstöðlum (e. regulatory technical standards, RTS), sem evrópskar eftirlitsstofnanir gefa út samhliða reglugerðinni. Tæknistaðlarnir munu koma til framkvæmda fyrir lok 24 mánaða innleiðingartímabils DORA-reglugerðarinnar.

DORA-reglugerðin leggur nýjar skyldur og kröfur á fyrirtæki á fjármálamarkaði. Þó að viðfangsefnin sem fjallað er um séu ekki ný af nálinni eru þau nú ítarlega skilgreind og nákvæmt innleiðingarferli verið sett fram.

Áherslumunur getur þó verið í ferlinu sökum ólíkrar starfsemi. Sum fyrirtæki, til að mynda bankar, eru langt á veg komin í að tryggja fylgni við reglugerðina þar sem starfsemin er nú þegar háð ströngum kröfum um upplýsingatækni og stafrænan viðnámsþrótt samkvæmt lögum ESB. Áhersla þeirra verður því á að uppfæra og aðlaga núverandi ráðstafanir og aðgerðir til að skyldur DORA séu að fullu uppfylltar.

Svo strangar kröfur hafa ekki verið gerðar til annarrar starfsemi til þessa, svo sem til fyrirtækja í eignastýringu eða þjónustuaðila fjármálafyrirtækja á sviði upplýsingatækni, og því ljóst að innleiðing DORA verður töluvert umfangsmeiri fyrir þessi fyrirtæki. Hér gætu fyrirtæki þurft að hrinda úr vör alveg nýjum aðgerðum og grípa til nýrra ráðstafana sem taka tillit til net- og upplýsingaöryggis samkvæmt kröfum.

Deloitte getur aðstoðað fyrirtæki á skilvirkan hátt þegar kemur að greiningu, ráðgjöf eða aðlögun starfseminnar að kröfum DORA-reglugerðarinnar. Getur það verið hvort heldur sem tilfallandi greining á fylgni við ákveðin ákvæði reglugerðarinnar eða með heildstæðri innleiðingaráætlun sem:

• Eflir stjórnarhætti, stefnu og vitund um áhættulandslag fyrirtækisi
• Skilgreinir stafrænan viðnámsþrótt fyrirtækis
• Uppfærir áætlanir á sviði áhættustýringar til að koma í veg fyrir, undirbúa og bregðast við áföllum í rekstri og tryggja rekstrarsamfellu