DORA-forordningen: Nye regler om cybersikkerhed i finanssektoren er på vej

Nyhed
04.04.2023

Tirsdag den 28. marts 2023 har det Europæiske Råd og Europa-Parlamentet endeligt vedtaget den nye forordning, Digital Operational Resilience Act (DORA). Formålet med forordningen er at modernisere reglerne om tilsyn med IT- og cybersikkerhed inden for den finansielle sektor. Forordningen er kommet i forlængelse af NIS2-direktivet, som blev vedtaget i slutningen af 2022. Med NIS2 – og nu også DORA – er cybersikkerhed for alvor kommet på dagsordenen.

Hvem er omfattet af DORA – Digital Operational Resilience Art?

DORA er en sektorspecifik forordning, som finder anvendelse på enheder inden for den finansielle sektor. Omfattet af forordningen er bl.a. kreditinstitutter, betalingsinstitutter, forsikrings- og genforsikringsselskaber, investeringsselskaber, mv.

 

DORA træder i kraft den 16. januar 2025 og finder anvendelse fra den 17. januar 2025.

 

IKT-tjenester og formålet med nye regler

Der er inden for den finansielle sektor en stor afhængighed af såkaldte IKT-tjenester. IKT står for informations- og kommunikationsteknologi, som er en teknologi, der gør det muligt for brugerne at få adgang til, redigere eller overføre oplysninger. Eksempelvis bruger forsikringsselskaber typisk en IKT-tjeneste, hvor brugerne kan gå ind og anmelde skader, uploade oplysninger, skrive henvendelser, mv. Det der kendetegner en IKT-tjeneste er, at det bruges som en to-vejs-kommunikation.

 

Brugen af IKT har i de seneste årtier indtaget en central rolle inden for den finansielle sektor, hvilket også har betydet, at IKT har fået en kritisk betydning for driften af de daglige funktioner i alle finansielle enheder. Betalinger, handel med værdipapirer, anmeldelse af skader, låntagning, finansiering, kreditvurdering, mv. sker digitalt.

 

Digitaliseringen har dog medført en alvorlig risiko for, at systemerne kan blive påvirket af operationelle forstyrrelser eller cyberangreb. Cyberangreb kan i de værst tænkelige tilfælde sprede sig ud til hele den finansielle sektor – også over grænserne– som kan udvikle sig til en krise i hele Europa. Konsekvenserne ved et cyberangreb er mange og omfatter bl.a. finansielle tab, økonomiske kriser, udhuling af tilliden til det finansielle system samt uoprettelige forstyrrelser.

 

Formålet med DORA er at forhindre disse scenarier finder sted og dermed sikre EU mod potentielle og ødelæggende forstyrrelser og cyberangreb.  Derudover er hensigten med forordningen at udfylde huller og overlapninger i den nuværende lovgivning. Derudover er der lovgivningsmæssige forskelle og uensartede nationale regler, hvorfor der er behov for at indføre fælles ensartede regler på EU-plan.

 

Hvilke regler indeholder forordningen?

I forordningens artikel 1 introduceres de nye regler. DORA indfører følgende regler:

  • Krav til finansielle enheder vedrørende
    • IKT-risikostyring
    • Indberetning af større IKT-relaterede hændelser til de kompetente myndigheder
    • Test af modstandsdygtighed ift. trusler
    • Udveksling af oplysninger og efterretninger om cybertrusler og sårbarheder
    • Styring af IKT-tredjepartsrisiko
  • krav til kontrakter der indgås med udbydere af IKT-tjenester
  • fastlæggelse og udførelse af tilsyn for kritiske udbydere af IKT-tjenester
  • regler om samarbejde mellem kompetente myndigheder og regler om de kompetente myndigheders tilsyn og håndhævelse

 

Nedenfor redegøres der nærmere for et udpluk af de regler, der indføres:

 

IKT-risikostyring

Reglerne om IKT-risikostyring omfatter bl.a., at finansielle enheder skal indføre en ”intern forvaltnings- og kontrolramme”, med henblik på styring af IKT-risiko.

Denne ramme skal som minimum omfatte strategier, politikker, procedurer, IKT-protokoller og -værktøjer.

Det er ledelsesorganet i den finansielle enhed, der har det endelige ansvar herfor, og som skal fastlægge, godkende og føre tilsyn med ordningerne for IKT-risikostyring. Ledelsesorganet skal desuden opbygge samt opretholde viden for at kunne forstå IKT-risiko, herunder ved regelmæssigt at følge særlige kurser.

 

Indberetning af større IKT-relaterede hændelser

De finansielle enheder skal indføre en proces for styring af IKT-relaterede hændelser med henblik på at opdage, styre og indberette hændelserne. Dette indebærer, at de finansielle enheder skal registrere alle IKT-relaterede hændelser samt væsentlige cybertrusler. Årsagerne til hændelserne skal identificeres, dokumenteres og håndteres for at forhindre fremtidige hændelser. Det er desuden et krav, at hændelserne klassificeres i forhold til deres virkninger med hensyn til antal, varighed, berørte, geografiske udbredelse, datatab, den kritiske betydning, mv.

 

Større IKT-relaterede hændelser skal indberettes til den kompetente myndighed (hvem, der bliver den kompetente myndighed i Danmark, vides ikke endnu). Der er efter indberetningen pligt til at udarbejde en efterfølgende rapport samt en endelig rapport, når årsagsanalysen er afsluttet.

Styring af IKT-udbydere (tredjepartsrisici)

 

De fleste finansielle enheder benytter IKT-systemer, som udbydes af tredjeparter, herunder cloudtjenester, software, dataanalysetjenester og udbydere af datacentertjenester. Forordningen forpligter derfor de finansielle enheder til at overvåge de risici, som kan opstå hos tredjepartsudbydere, samt sørge for en kontrakt, der skal opfylde minimumskrav fastsat i forordningen.

 

Derudover opstiller forordningen regler for tilsyn af IKT-udbydere. Den tilsynsførende kan bl.a. anmode udbyderen om oplysninger, foretage undersøgelser og inspektioner.

 

Forholdet til NIS2

DORA-forordningen kan på mange punkter sammenlignes med NIS2-direktivet, idet begge retsakter har til formål at indføre et højt niveau af sikkerhed med henblik på beskyttelse mod cybertrusler. DORA er modsat NIS2 sektorspecifik, og regulerer alene de finansielle enheder. NIS2 omfatter alle de sektorer, som er vurderet til enten at være en ”væsentlig enhed” eller en ”vigtig enhed” – herunder også finansielle markedsinfrastrukturer.

 

DORA fastslår derfor også, at der skal bevares en tæt forbindelse mellem DORA og NIS2 for at sikre sammenhæng med de strategier om cybersikkerhed, som medlemsstaterne har vedtaget og for at give de finansielle tilsynsmyndigheder mulighed for at få kendskab til cyberhændelser, der har virkninger for de øvrige sektorer.

 

Derudover skal finansielle virksomheder have mulighed for (frivilligt) at underrette den relevante kompetente myndighed i henhold til NIS2 om væsentlige cybertrusler.

 

Har du spørgsmål eller brug for rådgivning?

Har du spørgsmål til DORA-forordningen eller brug for rådgivning, så er du altid velkommen til at kontakte vores specialister.

 

Er din virksomhed omfattet af NIS2, så læs mere her

Tilmeld dig
HjulmandKaptains
nyhedsbrev

Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.

 

Tilmeld nyhedsbrev