DORA:
Digital Operational Resilience Act

Finanssektorn inom EU möter ökade krav på cybersäkerhet och affärskontinuitet. För att möta dessa utmaningar har Europeiska Unionen infört DORA. Detta regelverk syftar till att stärka finansiella aktörers förmåga att hantera cyberhot och säkerställa att deras verksamheter kan fortsätta fungera även under digitala störningar. Med start den 1 januari 2023 har företag fram till januari 2025 att implementera åtgärderna för att vara fullt efterlevande.

Vad är DORA?

DORA är ett omfattande ramverk som fokuserar på att bygga upp den digitala resiliensen inom den finansiella sektorn. Genom att harmonisera och standardisera säkerhetskraven inom informations- och kommunikationsteknik (IKT) ska företag kunna möta och motstå cyberattacker och andra digitala störningar. Ett centralt mål med DORA är att säkerställa att företag inte bara reagerar på hot, utan också aktivt förebygger och minimerar riskerna för störningar.

Tekniska krav i DORA

En av de mest framträdande delarna i DORA är de tekniska krav som ställs på finansiella aktörer och deras IT-infrastruktur. Dessa krav är avsedda att säkerställa en robust och säker digital miljö som kan hantera dagens allt mer sofistikerade cyberhot.

Riskhantering
 Ett av DORA viktigaste krav är att alla finansiella aktörer måste ha heltäckande system för att hantera risker kopplade till deras IKT-infrastruktur. Företag måste identifiera kritiska funktioner och tillgångar, säkerställa att dessa skyddas med lämpliga säkerhetssystem, och övervaka för att snabbt upptäcka avvikelser eller cyberhot. Detta omfattar både tekniska lösningar som intrusion detection-system och processer för att kontinuerligt granska och uppdatera skyddet mot nya hot.

Incidenthantering och rapportering
 DORA inför också krav på att företag effektivt ska hantera och rapportera cyberincidenter. Företag måste kunna klassificera varje incident enligt specifika kriterier som fastställs av EU tillsynsmyndigheter (ESA) och leverera flera rapporter – från initial till slutlig. Denna rapporteringsstruktur hjälper till att skapa insyn och samordning på EU-nivå, och säkerställer att cyberincidenter hanteras på ett konsekvent sätt.

Regelbundna säkerhetstester
 För att säkerställa att IT-systemen är motståndskraftiga mot cyberhot kräver DORA att alla finansiella företag utför regelbundna tester av sina system. Dessa inkluderar årliga tester för att identifiera sårbarheter och, för vissa större aktörer, omfattande penetrationstester (TLPT) vart tredje år. Genom dessa tester simuleras riktiga attacker för att säkerställa att systemen står emot angrepp. Sårbarheter som upptäcks under testerna måste åtgärdas omedelbart.

Tredjepartsleverantörer
 En annan viktig del av DORAs är hanteringen av IKT-tjänster från tredjepartsleverantörer. Regelverket ställer krav på att företag noggrant granskar och övervakar sina externa leverantörer för att säkerställa att även de upprätthåller samma höga säkerhetsstandarder. Detta gäller inte bara molnleverantörer, som tidigare varit en särskild fokuspunkt, utan alla leverantörer av IT-tjänster. Avtalen med dessa leverantörer måste inkludera detaljerad information om servicenivåer, datalagring och säkerhetsåtgärder.

Dataskydd och sekretess
 För att uppfylla de tekniska kraven i DORA spelar kryptering en central roll. Kryptering är en av de mest effektiva metoderna för att skydda känslig information, och DORA understryker behovet av att använda stark kryptering både för data i vila och under överföring. Genom att kryptera kunddata, finansiella transaktioner och annan kritisk information kan företag minska risken för dataintrång och säkerställa att även om data skulle bli åtkomlig för obehöriga, är den oanvändbar utan rätt krypteringsnyckel.
Förutom kryptering måste företag under DORA säkerställa integriteten och tillgängligheten av data, oavsett om det gäller intern information eller kunddata. Det krävs tekniska lösningar för att förhindra dataförlust och säkerställa att endast behörig personal har åtkomst till kritiska system. Här kan användningen av flerfaktorsautentisering (MFA) och andra säkerhetsverktyg bidra till att stärka skyddet ytterligare.

Påverkan på Finansiella Aktörer

DORA gäller för ett brett spektrum av finansiella aktörer, från banker och försäkringsbolag till kryptotjänstleverantörer och crowdfunding-plattformar. Tredjepartsleverantörer, som erbjuder kritiska IKT-tjänster, omfattas också. För leverantörer utanför EU innebär detta att de måste etablera dotterbolag inom unionen för att kunna fortsätta erbjuda tjänster till EU-baserade företag. Genom att inkludera nya aktörer, såsom kryptobaserade finansiella tjänster och alternativa investeringsfonder, speglar DORA hur snabbt finansbranschen har digitaliserats. Regelverket gör att alla aktörer, stora som små, måste ta ett större ansvar för cybersäkerheten.

Kontinuitet och Resiliens

Ett av DORAs primära mål är att säkerställa att finansiella företag kan fortsätta sin verksamhet även vid cyberattacker eller större IT-haverier. Detta ställer höga krav på företagens förmåga att bygga motståndskraftiga system, där tekniker som kryptering och avancerade säkerhetslösningar spelar en avgörande roll. I praktiken innebär detta att företag måste ha detaljerade krisplaner och lösningar som tillåter dem att snabbt återgå till normal verksamhet efter en incident. Genom att ställa höga krav på digital säkerhet, incidenthantering och samarbete med tredjepartsleverantörer, skapar DORA en robust grund för att finanssektorn ska kunna motstå framtida cyberhot och säkerställa stabilitet i en alltmer digital värld.

Kom igång redan idag

KONTAKTA OSS

Copyright 2024 Complior AB. All rights reserved.