Ökade cyberangrepp mot finansiella bolag innebär att EU skärper kraven kring företagens motståndskraft mot IKT-relaterade störningar och hot. Det är inte bara banker som omfattas av regelverket, utan även andra verksamma aktörer inom finanssektorn, samt kritiska IKT-leverantörer. I maj nådde ministerrådet och Europaparlamentet en preliminär överenskommelse till en förordning om digital operativ motståndskraft (DORA) som ska stärka finanssektorns motståndskraft mot störningar och digitala risker. En stor milstolpe nåddes den 10 november när Europaparlamentet godkände DORA och därmed avslutade lagstiftningsprocessen. Förordningen började gälla 16 januari 2023, vilket innebär att bolag som berörs av DORA nu har fram till början av 2025 att uppfylla kraven.
Den 24 september 2020 publicerade europeiska kommissionen sitt utkast till förordningen om digital operativ motståndskraft i den finansiella sektorn – Digital Operational Resilience Act (DORA). En slutgiltig överenskommelse nåddes 24 juni 2022 och representerar EU:s mest omfattande regelverk om operativ motståndskraft och cybersäkerhet inom den finansiella sektorn. DORA utökar fokuset för EU:s finansiella tillsynsmyndigheter (ESA) vars huvudsakliga uppgift blir att säkerställa att företag blir finansiellt motståndskraftiga och kan upprätthålla verksamheten vid allvarliga driftstörningar.
Den 10 november godkändes DORA av Europaparlamentet och 16 januari kom godkännande av ministerrådet samt en publicering i EU:s officiella tidning. Det betyder att klockan börjat ticka för svenska finansiella bolag som har två år på sig att införliva regelverket i verksamheten, inklusive de praktiska kraven som utarbetas i ett sekundärt regelverk av de europeiska tillsynsmyndigheterna (ESA) (se del II nedan).
De företag som omfattas av regelverket är banker och andra kreditinstitut, försäkringsbolag, värdepappersföretag och övriga företag inom den finansiella sektorn där finansiella tjänster ingår. Utöver detta omfattas även kritiska IKT-leverantörer, inklusive molntjänstleverantörer (CSP:er). DORA innebär ett utvidgande jämfört med tidigare IKT-regelverk som inte omfattat kritiska tredjepartsleverantörer och molntjänstleverantörer. EU:s finansiella tillsynsmyndigheter (ESA) kommer ha befogenhet att begära information, utföra inspektioner samt utfärda rekommendationer, administrativa sanktioner och avhjälpande åtgärder.
Den slutliga versionen av DORA består av fem huvudområden. Vår analys av de tekniska kraven som ställs i förordningen består av följande krav:
Hur de nya reglerna fungerar i praktiken kommer besvaras av ett sekundärt regelverk, även känt som en ”nivå 2” riktlinjer eller teknisk standard. I de flesta fall kommer de europeiska tillsynsmyndigheterna i det gemensamma forumet utveckla dessa regler som antingen Regulatory Technical Standards (RTS) eller Implementing Technical Standards (ITS). Europeiska kommissionen kommer utveckla två delegerade akter för tillsynsramverket för kritiska tredjepartsleverantörer (se tabell 1 nedan för en lista över alla nivå 2-åtgärder i DORA).
Utvecklingen av standarder kommer ta tid och därmed kommer det finnas ytterligare en period på 12–18 månader av osäkerhet för företag inom vissa områden av förordningen, särskilt kring rapporteringen av IKT-incidenter och de regler som gäller för den hotstyrda penetrationstestningen. Under denna tid kommer företag behöva gå vidare med implementeringsarbete som de kan initiera baserat på nivå 1-texten. Företag bör också vara mycket uppmärksamma på de rådgivande versionerna av RTS/ITS när de väl släpps, eftersom de vanligtvis är väldigt lika de slutliga versionerna som så småningom antas av ESA:erna.
Eftersom lagstiftningsprocessen för DORA nu är avslutad måste svenska finansiella bolag börja planera för implementeringen av förordningen. Vi anser att DORA ska vara ett högprioriterat område som skall finnas med i företagens verksamhetsplaner inför 2023–2024. Regelverket kommer driva finansiella bolag att ta en bredare syn på att identifiera motståndskraft för kritiska funktioner och underliggande processer. Bolagen kommer behöva förbättra sin förståelse över kritiska affärsprocesser, förbättra sina upptäckande förmågor och incidenthanteringsrutiner, utöka sin testning av kritiska IKT-system och jobba närmare sina leverantörer som också kommer ha samma skyldigheter. DORA är en katalysator som påskyndar strategiska förändringar i hanteringen av risker, sätter press på ledningen att förstå effekten av allvarliga driftstörningar och förstå de begränsningar som finns i organisationen.
24-månadersperioden är en snäv tidslinje att förhålla sig till, inte minst eftersom företag även måste vara beredda på att implementera de tekniska standarderna på nivå 2 när dessa färdigställs och görs tillgängliga. Därför är det viktigt för bolag att förstå kraven som ställs i DORA och tidigt identifiera förbättringsområden för att integrera dessa i bolagens verksamhetsplaner. I synnerhet bör bolag ha följande två överväganden i åtanke:
Förbered dig för ökad tillsyn: När DORA träder i kraft kommer svenska tillsynsmyndigheter och EU-myndigheter få omfattande nya mandat och befogenheter. Istället för att se DORA som en ”tick-the-box”-övning från er compliancefunktion, bör företag förvänta sig att relevanta svenska myndigheter utvecklar tillsynsramar där nya befogenheter används för att driva en förbättring. Den svenska regeringen välkomnar DORA och anser att en nationell tillsynsstruktur bör beaktas. Trycket på företag kommer att öka i samband med att tillsynsmyndighetens förståelse för förordningen ökar. Detta har varit erfarenheten hittills i Storbritannien med deras nya tillsynsramverk för operativ motståndskraft, där myndigheter bland annat har trycktestat och efterfrågat olika bolag om deras återhämtningsplaner – redan samma vecka som regelverket blev känt.
För att förstå hur dessa tillsynsramverk sannolikt kommer utvecklas bör företag fokusera på områden i DORA som kräver granskningar från tillsynsmyndigheter. Exempelvis de nya kraven för konsekvensanalyser för verksamheter i kapitlet om IKT-riskhantering, kravet på att företag ska utföra årlig testning av system som stödjer kritiska funktioner och att "fullständigt åtgärda" alla identifierade sårbarheter kommer att bli betydande granskningsområden för företag. Tillsynsmyndigheter kommer sannolikt sätta tryck på företag när det gäller de scenarier som används, avanceringen av testmetoder, detaljer i kartläggningen av de underliggande systemen och fullständigheten i åtgärdsarbetet för identifierade sårbarheter.
Identifiera de förmågor som kräver förbättringar: Många av DORA:s nya krav kommer kräva betydande investeringar i ramverket för styrning, risk och efterlevnad kring IKT-, Cyber- och inköpsfunktioner samt arbete för att åtgärda de operativa sårbarheter som identifieras. Företag bör genomföra en gapanalys baserad på kraven i DORA och uppdatera dessa när utkastet för de fördjupade tekniska standarderna görs tillgängliga, för att identifiera de brister som behövs korrigeras under kommande 24 månader. Baserat på vår analys av det slutliga DORA-avtalet bör denna gapanalys fokusera särskilt på:
Bolag kan förvänta sig en stor skillnad i mognadsgrad beroende på bolagsstorlek och EU-land. Tillsynsmyndigheter kommer i största sannolikhet förvänta sig en mer utvecklad förmåga och kapacitet från stora marknadsledande bolag, där driftstörningar kan få allvarliga konsekvenser. Alla företag kommer därför sannolikt utmanas av DORA och tidsfristen som börjar gälla i slutet av året. Därför är det viktigt för bolag att inte slösa bort sin tid och börja planera för DORA:s implementering redan idag.
Våra specialister hjälper er förstå hur förordningen påverkar er verksamhet genom att identifiera viktiga förbättringsområden som verksamheten behöver verkställa under implementationsfasen av regelverket. Vår omfattande kunskap över samspelet mellan DORA och andra IKT-relaterade regelverk, starka relationer till EU-institut och värdeskapande tjänster gör Deloitte till rätt partner för denna implementationsresa. Vi kan hjälpa er med bland annat:
Artikeln kommer uppdateras löpande när DORA godkänns av ministerrådet och publiceras i EU:s officiella tidning.
Artikeln är skriven av Peter Birgersson och Lanna Cengic.