– Vad är DORA – och hur påverkas ditt företag?
Lästid: 4 minuter.
DORA (Digital Operational Resilience Act) är en EU-förordning med krav och riktlinjer för att göra den finansiella sektorn mer digitalt motståndskraftig i alla unionens länder. Här får du svar på de vanligaste frågorna om vad DORAs regelverk innebär – och tips på hur du kan uppgradera din verksamhet för att leva upp till dem.
Vad är syftet med DORA-förordningen?
Det övergripande syftet med DORA är att skapa ett enhetligt ramverk inom hela EU för att minska de digitala riskerna och ge ett tryggare och stabilare finansiellt system för medborgare och organisationer i unionens länder. Man vill säkerställa att kritiska funktioner inte ska kunna slås ut av exempelvis ett cyberangrepp. DORA är alltså, i likhet med NIS2-direktivet, ett led i arbetet med att stärka cyberresiliensen i unionen.
När träder DORA i kraft?
DORA-förordningen började gälla i januari 2023, med krav på full efterlevnad från 2025. Detta för att de organisationer som omfattas av förordningen ska ha tid att anpassa sina verksamheter utifrån de nya reglerna.
Vilka omfattas av förordningen?
DORA gäller i hela EU och omfattar framför allt företag som på olika sätt verkar inom finanssektorn, som till exempel banker, försäkringsbolag, värdepappersföretag och revisorer. Men även tredjepartsleverantörer av kritiska IKT-tjänster (tjänster inom information, kommunikation och teknik) omfattas av de nya reglerna. I denna kategori ingår exempelvis företag som tillhandahåller molntjänster och datarapportering till aktörer i finanssektorn. Genom att täcka in dessa externa leverantörer vill man säkerställa en konsekvent hantering genom hela värdekedjan.
Vilka är huvudpunkterna i DORA?
DORA-förordningen har ett stort fokus på hur företag och organisationer i finanssektorn hanterar risker och incidenter kopplat till IKT (information, kommunikation och teknik). Här är fem prioriterade områden i förordningen och vad de innebär i korthet:
- IKT-riskhantering: se till att strategier och policys för riskbedömning utvärderas och uppdateras regelbundet, liksom säkerställa en robust digital infrastruktur med kontinuerlig övervakning för att snabbt kunna upptäcka avvikelser och åtgärda potentiella sårbarheter.
- Incidentrapportering: löpande logga och klassificera alla IKT-relaterade incidenter och rapportera in större säkerhetsincidenter på ett korrekt sätt till de europeiska tillsynsmyndigheterna (ESA).
- Testning: regelbundet testa den digitala motståndskraften i verksamhetens IKT-system, inklusive tjänster från tredjepartsleverantörer, för att kunna identifiera och åtgärda eventuella säkerhetsbrister.
- Riskhantering gällande tredjepartsleverantörer: göra noggranna bedömningar av riskerna med att outsourca kritiska IKT-tjänster, rapportera vilka verksamheter som outsourcas, säkerställa att avtal med tredjepartsleverantörer innehåller detaljerad information om exempelvis var data lagras och upprätthålla en överblick över den digitala infrastrukturen som helhet.
- Informationsdelning: utbyta information om cyberhot med andra företag i finanssektorn, liksom ha processer på plats för att utvärdera och agera på information från myndigheter.
Vad innebär förordningen för mitt företag?
Om din verksamhet omfattas av DORA-förordningen behöver du först och främst göra en grundlig kartläggning av dina cybersäkerhetsrutiner och din digitala infrastruktur, inklusive tredjepartsleverantörer. När du har en överblick av ditt nuläge kan du enklare prioritera rätt insatser för att åtgärda eventuella brister och förbereda organisationen för de nya kraven på testning och rapportering.
Exempel på åtgärder skulle kunna vara:
- Uppdatera verksamhetens cybersäkerhetspolicys för att se till att de ligger i linje med regelverket.
- Utbilda medarbetarna i hur man upprätthåller en god cyberhygien, minimerar risker och hur man ska agera vid en cyberattack.
- Regelbundet genomföra övningar och tester, exempelvis penetrationstester, för att hålla rutinerna levande och bekräfta att motståndskraften finns där i skarpt läge.
- Säkerställa att ni har system och tjänster på plats för övervakning, loggning och snabb respons på cyberincidenter. Vid behov, komplettera med tekniska lösningar, liksom intern och/eller extern kompetens, till exempel med ett SOC (Security Operation Center).
Vad händer om man bryter mot DORA-förordningen?
Icke-efterlevnad kan resultera i sanktioner i form av böter. Hur höga sanktionsavgifterna blir beror på hur allvarlig avvikelsen bedöms vara. Beloppet kan i vissa fall uppgå till 1% av verksamhetens globala omsättning.
Kraven anpassas efter dina förutsättningar
Om du är verksam i ett mindre företag, där ni inte är vana vid att arbeta med cybersäkerhet på den här nivån, kan åtgärderna för att följa DORA verka övermäktiga. Tänk då på att förordningen tillämpas enligt en proportionalitetsprincip. Det innebär att kraven på din verksamhet kommer att anpassas utifrån faktorer som storlek, risknivå och komplexitet. Med det sagt finns det förstås fler skäl att förbättra cybersäkerheten än att “bara” följa skärpta regelverk, och du bör hellre göra för mycket än för lite.
Trender inom cybersäkerhet: så håller du dig uppdaterad
Vi på GlobalConnect publicerar regelbundet artiklar och rapporter för dig inom it, med senaste nytt om cybersäkerhet och andra aktuella ämnen. Missa till exempel inte vårt populära on demand webinar där experter inom cybersäkerhet berättar hur en modern SOC-tjänst fungerar, liksom hur du kan förbereda din organisation för det kommande NIS2-direktivet.