DORA-forordningen: Krav til digital modstandsdygtighed i den finansielle sektor
DORA-forordningen er en cybersikkerhedsforanstaltning, som finder anvendelse i den finansielle sektor. Vi kommer omkring DORA , og hvordan du og din virksomhed kan håndtere kravene i den.
Hvad er DORA-forordningen?
DORA-forordningen er en sektorspecifik cybersikkerhedsforanstaltning om digital operationel modstandsdygtighed i den finansielle sektor.
DORA er del af en pakke på området for digital finansiering og er lex specialis i forhold til NIS2-direktivet. Med DORA får vi en harmoniseret og lovmæssig ramme for digital operationel modstandsdygtighed og styring af cyber/IT-risici i den finansielle sektor.
Forordningen vil medføre en række ændringer og nye krav til din virksomhed, hvis den er med blandt de berørte virksomheder. Den vil blandt andet medføre ophævelse af en del af de nuværende regler for den finansielle sektor, eksempelvis ledelses- og outsourcingbekendtgørelserne.
Tidslinje for DORA-implementeringen
DORA-forordningen skal nærmere specificeres gennem en række nye detaljerede regler og vejledninger. Herunder gælder 10 tekniske standarder (RTS og ITS), to Calls for Advice (delegerede retsakter), to sæt retningslinjer og en række rapporter, der alle skal være færdige inden for 18 måneder.
De detaljerede regler forberedes som udgangspunkt af de tre europæiske tilsynsmyndigheder Den Europæiske Banktilsynsmyndighed (EBA), Den Europæiske Værdipapir- og Markedsmyndighed (ESMA) og Den Europæiske Pensions- og Forsikringsmyndighed (EIOPA). Samlet går de tre tilsynsmyndigheder under navnet ”ESA’erne”.
Hertil er det Finanstilsynet, der vil styre det dansk bidrag og interessevaretagelse. Finanstilsynet er samtidig med til at forberede de nødvendige ændringer og tilpasninger i de nuværende danske regler.
Vi forventer, at offentlige høringer over de delegerede retsakter, lovændringer mv. bliver gennemført fra sommeren 2023 og frem mod den 17. januar 2025:
Hvad er formålet med DORA?
Baggrunden for DORA er et ønske om at imødegå de problemstillinger, som den stadigt stigende digitalisering af den finansielle sektor i EU indebærer. Hensigten med DORA er overordnet at bidrage til at skabe en mere sikker og effektiv digital finansiel sektor ved at opstille en række harmoniserede EU-krav og regler for finansielle virksomheder.
DORA skal modernisere reglerne om tilsyn med IT- og cybersikkerhed
Den digitale transformation af den finansielle sektor har medført en række udfordringer. De udfordringer består blandt andet af en forøget teknisk afhængighed og koncentration på færre – og større – (ikke-EU-baserede) leverandører. Dertil kommer et generelt stigende niveau for cyberrisici i den finansielle sektor.
Formålet med DORA er derfor at modernisere reglerne om tilsyn med IT- og cybersikkerhed inden for den finansielle sektor. Derudover er formålet at udvikle en standardiseret, europæisk tilgang til digital risikostyring, som desuden fremmer teknologisk udvikling og sikrer finansiel stabilitet og forbrugerbeskyttelse.
Kravene harmoniserer den finansielle sektors evne til at forbedre og monitorere den digitale operationelle modstandsdygtighed.
Virksomheder der er undtaget fra DORA's anvendelsesområde:
- Forvaltere af alternative investeringsfonde, der er omhandlet i artikel 3, stk. 2, i direktiv 2011/61/EU
- Forsikrings- og genforsikringsselskaber, der er omhandlet i artikel 4 i direktiv 2009/138/EF
- Arbejdsmarkedsrelaterede pensionskasser, som forvalter pensionsordninger, som tilsammen ikke har mere end 15 medlemmer i alt
- Fysiske eller juridiske personer, der er undtaget i henhold til artikel 2 og 3 i direktiv 2014/65/EU
- Forsikringsformidlere, genforsikringsformidlere og accessoriske forsikringsformidlere, som er mikrovirksomheder eller små eller mellemstore virksomheder
- Postgirokontorer, der er omhandlet i artikel 2, stk. 5, nr. 3), i direktiv 2013/36/EU.
Ledelsens opgaver og ansvar
DORA fastlægger udtrykkeligt, at det er ledelsens - det vil sige i udgangspunktet bestyrelsens og direktionens - opgaver at:
- være endelig ansvarlig for risikostyring og herunder at fastlægge og godkende en strategi for digital operationel modstandsdygtighed og risikoappetit
- tildele og regelmæssigt gennemgå passende budget for digital modstandsdygtighed og følge kurser inden for cybersikkerhed
- sikre en governancestruktur med klare roller og ansvarsområder og "høje standarder" for tilgængelighed, autenticitet, integritet og fortrolighed af data
- godkende, føre tilsyn med og regelmæssig gennemgå business continuity planer, revisioner og politik for brug af digitale tredjepartsprodukter
- sikre overvågning af tredjepartsudbydere i forhold til risikoeksponering og dokumentation og sikre underretning om brug af tredjepartsudbydere for vigtige funktioner.