Nya IT-lösningar och en ökad digitalisering medför en ökad risk för att utsättas för IT-relaterade attacker. Digital motståndskraft är därför viktigare än någonsin. Lina Sandmark, advokat på Kompass Advokat, är specialist på regulatoriska frågor inom den finansiella sektorn och går igenom den föreslagna DORA-förordningen som syftar till att öka IT-säkerheten inom den finansiella sektorn.
DORA-förordningen
Gamla IT-system byts ut mot nya och mer uppkopplade IT-lösningar. I takt med att företag blir allt mer digitala ökar risken för cyberattacker och andra IT-relaterade risker. I ljuset av detta har EU-kommissionen sett ett behov att ta fram en ny förordning. Den 24 september 2020 presenterade kommissionen ett paket om digitalisering av finanssektorn. En del av detta paket var DORA-förordningen (the Digital Operational Resilience Act). Förordningen syftar till att säkerställa att aktörer inom den finansiella sektorn vidtar de skyddsåtgärder som krävs för att motverka cyberattacker och andra IT-relaterade risker.
DORA-förordningen är tillämplig på många olika företag inom den finansiella sektorn. Kreditinstitut, betalinstitut, värdepappersbolag, handelsplatser, fondbolag, försäkringsföretag, försäkringsförmedlare och revisorer är exempel på några av de aktörer som faller in under förordningens samlingsnamn ”finansiella enheter”.
Fyra fokusområden
DORA-förordningen innehåller krav som ska leda till att företag som omfattas av förordningen förebygger informations- och kommunikationsrelaterade (IKT) störningar och hot, t.ex. cyberattacker. DORA-förordningen kan delas upp i fyra områden; styrning och riskhantering, rapportering, testning samt en helt ny tillsynsram för IKT-leverantörer inom finansiell sektor.
Styrning och riskhantering tar sikte på bestämmelser som ställer krav på ledningens ansvar, organisation och kontroll över IKT-risker. Det kommer ställas krav på dokumentation och framtagande av ett IKT-riskramverk som bl.a. inkluderar policyer, strategier och säkerhetsverktyg.
"Lina Sandmark, Kompass Advokat"
Kraven avseende rapportering handlar dels om att införa rapporteringskrav för de aktörer som omfattas, dels om att harmonisera de redan existerande rapporteringskraven i NIS-direktivet och PSD-direktivet på så sätt att aktörerna inte behöver rapportera enligt alla regelverken. Rapporteringskraven handlar även om att ta fram lämpliga processer samt att klassificera IKT-incidenter utifrån olika faktorer såsom antal drabbade och långvarighet.
Vissa finansiella aktörer kommer omfattas av krav på testning av IKT-säkerhet. Kravet handlar om hur och i vilken omfattning företag behöver testa sina system i syfte att identifiera och förebygga brister.
Bestämmelserna avseende tillsynsram för IKT-leverantörer syftar till att möjliggöra övervakning av de IKT-leverantörer inom finansiell sektor som bedöms som kritiska. Tillsynen tar bl.a. sikte på om IKT-leverantören har tillräckligt omfattande och effektiva processer och mekanismer för att kunna hantera de IKT-risker den finansiella aktören kan utsättas för.
Vad händer nu?
DORA-förordningen har inte antagits ännu utan Europarådet och EU-parlamentet förhandlar fortfarande. Förordningen ska även remissbehandlas. Det är just nu svårt att bedöma när förordningen kommer att träda ikraft, troligtvis kommer det dröja minst ett år plus kanske ytterligare sex månader till ett år innan den ska börja tillämpas.
Många av kraven i förordningen överlappar de krav som uppställs i de IKT-riktlinjer som EBA och EIOPA tagit fram. Vid arbetet och implementeringen av dessa riktlinjer kan det därför vara en god idé att samtidigt snegla på de föreslagna kraven i DORA-förordningen. EBA:s riktlinjer började tillämpas den 30 juni 2020 medan EIOPA:s riktlinjer kommer börja tillämpas senast den 1 juli 2021.
Även om ikraftträdandet av DORA-förordningen ligger relativt långt fram kan det vara bra för aktörer som omfattas av förordningen att redan nu göra sig redo inför det som komma skall. Ett första steg är att kartlägga kraven och genomföra en gap-analys för att undersöka vilka åtgärder man behöver vidta för att uppfylla kraven. Det hjälper också företag att rent allmänt öka sin digitala motståndskraft, och på så sätt redan nu minska sin operativa risk.
Kompass Advokat är specialister inom försäkringsrätt och finansiell reglering, dataskydd och personuppgifter, marknadsföringsrätt, varumärkesrätt samt avtals- och bolagsrätt.
Läs mer här!
