DORA (Digital Operational Resilience Act) är ett övergripande regelverk inom EU för hantering av digitala risker i Finansbranschen. Genom DORA utvidgas scoopet från att enkom se till företagens finansiella situation till att även omfatta en stabilitet i deras verksamhetsutövning. Detta beaktat hur väl man står sig vid olika verksamhetspåverkande digitala incidenter, cyberhot och övriga IT-problem. Syftet med DORA är att säkerställa att finansiella institutioner och marknadsaktörer är rustade för att hantera och förebygga cyberhot, samtidigt som de bibehåller operativ stabilitet. Detta är särskilt viktigt med tanke på den ökande digitaliseringen av finanssektorn och det ökande antalet cyberattacker. Företagen måste vidga sin syn på att identifiera motståndskraft för kritiska funktioner och underliggande processer. De kommer behöva förbättra sin förståelse över kritiska affärsprocesser, förbättra sina upptäckande förmågor och incidenthanteringsrutiner, utöka sin testning av kritiska IKT-system och jobba närmare sina leverantörer som också kommer ha samma skyldigheter. Regelverket och dess uppföljning lyder under de europeiska tillsynsmyndigheterna (ESA). ESA kommer ha befogenhet att begära information, utföra inspektioner samt utfärda rekommendationer, administrativa sanktioner och avhjälpande åtgärder.
Dora skall ses som en katalysator för strategiska förädlingar i företagens hanteringar av risker och öka medvetenheten hos ledningen för de konsekvenser som ges av allvarliga driftstörningar samt ökad förståelse för organisationens begränsningar.
Sett ur ett EU-perspektiv så omfattas närmare 25 000 finansiella företag och IKT-leverantörer av DORA. De som omfattas är såväl banker som andra kreditinstitut, värdepappersföretag, försäkringsbolag, leverantörer av kryptotillgångar, leverantörer av datarapportering samt leverantörer av molntjänster.
Regelverket tar ett sammanhållande grepp om effektiv riskhantering, organisationens förmåga att hantera IT- och Cybersäkerhetsrisker samt hantering av tredjepartsrisker. Detta för att få en stabilitet och struktur i hela sin tjänsteleverans. Ser man till regelverket så är det framförallt följande punkter som är centrala:
- Riskhantering av IKT-tjänster.
- Rapportering av IKT-relaterade incidenter.
- Tester av den digitala motståndskraften.
- Riskhanteringen hos tredjepartsleverantörer av IKT-tjänster.
Företag som berörs av DORA bör vara beredda på en ökad tillsyn. När det träder i kraft kommer såväl Svenska tillsynsmyndigheter som EU-myndigheter att få omfattande nya mandat och befogenheter. Ser man till erfarenheter från Storbritannien och deras nya tillsynsramverk så har myndigheterna ”trycktestat” bolag och efterfrågat berörda företag om deras återhämtningsplaner och processer redan samma vecka som regelverket implementerats. M.a.o. så bör företag, givet de snäva tidsramarna, fokusera på områden som kräver granskning av tillsynsmyndigheter.
Förordningen började att gälla den 16 januari 2023 och det innebär att de organisationer som omfattas av DORA har fram till 16 januari 2025 att uppfylla dess krav. Mao så är det nu enkom ett år kvar.
Vad bör man som företag göra?
Man bör omgående komma igång med en GAP-analys baserad på kraven i DORA för att identifiera de brister som kommer att behöva åtgärdas under 2024.
Hur kan Upgraded hjälpa?
Vi har specialister som kan hjälpa er att förstå förordningen och dess påverkan på er verksamhet samt identifiera de åtgärder som måste genomföras. Vi har också tillgång till resurserna som kan genomföra de förändringar som krävs för att bli ”DORA-compliance”.