Gör dig redo för DORA!

DORA (Digital Operational Resilience Act) är EU:s regelverk för effektiv och heltäckande hantering av digitala risker i finansbranschen. Förordningen omfattar alla finansiella företag inom EU samt även tjänsteleverantörer som tillhandahåller system och tjänster för informations- och kommunikationsteknik (IKT) till finansiella företag.

Från och med januari 2025 behöver dessa företag följa det nya regelverket. Vad innebär detta och vad behöver du och ditt företag göra för att komma igång? Elisabeth Alexandersson och Mika Jantunen förklarar och avslutar med tips på hur du ska komma igång.

Vad är DORA?

Syftet med DORA är att på ett heltäckande sätt ta itu med IKT-riskhantering inom den finansiella tjänstesektorn och att harmonisera de IKT-riskhanteringsregler som redan finns i enskilda EU-medlemsländer. Förordningen är ett steg framåt mot att stärka finanssektorns digitala verksamhetsförmåga och säkerställa att verksamheten kan upprätthållas även vid allvarliga driftstörningar.

DORA är utformad för att stärka EU:s finanssektor genom att garantera att finansiella institutioner har de nödvändiga processerna, systemen och kontrollerna för att motstå och reagera på operationella störningar effektivt. Finansiella företag måste ha ett effektivt ramverk för IKT-riskhantering för att identifiera och hantera IKT-risker och en process för att agera på incidenterna. Aktörer som omfattas av DORA ska proaktivt arbeta med IKT-risker och ha en process för att rapportera IKT-relaterade incidenter som till exempel intrång och attacker. Dessa aktörer ska också kontinuerligt testa sin operativa motståndskraft genom säkerhetstester och de uppmuntras även att utbyta information om cyberhot med andra företag och myndigheter samt att införa processer för att kontrollera och agera på information om cyberhot från myndigheter. Eftersom även tredje part som tillhandahåller IKT-relaterade tjänster till finansiella företag omfattas av förordningen krävs att de finansiella företagen löpande utvärderar och hanterar risker gällande sina tjänsteleverantörer.

Vad behöver företagen göra nu?

De nya kraven innebär att företag kan behöva utbilda personal och införa nya processer, samt utveckla planer för att hantera störningar och testa sin operativa motståndskraft. I enlighet med DORA ska företagen även upprätta ett register över sina nuvarande tjänsteleverantörer. Därtill kan nya investeringar i IT-säkerhet behöva göras för att uppfylla kraven från DORA. Konkreta åtgärder kan också innebära att se över och eventuellt uppdatera sina IKT-outsourcingavtal och policyer.

Är du osäker på hur du ska komma i gång? Arbetet kan verka överväldigande men genom att bryta ner det i steg det kan du göra processen enklare:

  • Samla dina experter: Involvera personal från IT, säkerhet, efterlevnad och ledning.

  • Sätt dina prioriteringar: Bestäm vad som utgör väsentlig verksamhet och de IT-system som möjliggör dem.

  • Bedöm dina risker: Genomför en GAP-analys för att identifiera nödvändiga åtgärder.

  • Skapa din strategi: Utveckla en grundlig DORA-efterlevnadsstrategi.

  • Uppdatera och upprätta: Se över dina outsourcingavtal och policyer samt upprätta ett register över dina tjänsteleverantörer.

Behöver du hjälp med att förbereda dig för DORA? Vårt team är redo att hjälpa dig att omsätta ovanstående råd i praktiken. Tveka inte att kontakta oss om du vill diskutera ditt företags behov.