DORA: Utmaningar och möjligheter för finanssektorn

Denna artikel syftar till att ge en överblick av den nya förordningen om digital operativ motståndskraft för finanssektorn (”DORA”). Artikeln avser också att identifiera och problematisera ett urval av de springande punkter i DORA som ger upphov till såväl utmaningar som möjligheter i verksamheten och de interna processerna hos finansiella företag. Det är av vikt för såväl finansiella företag som för leverantörer av informations- och kommunikationstjänster (”IKT-tjänster”) till finansiella företag att ta ett tidigt grepp om de förändringar som DORA kommer att innebära för allt från intern styrning och leverantörsavtal till incidentrapportering och testning av IKT-system.

DORA har till syfte att harmonisera och stärka kraven vad avser hantering av operativa risker, och i synnerhet risker kopplade till IKT-tjänster, i finansiella företag. På grund av den ökade digitaliseringen i sektorn, och den därigenom ökade sårbarheten för t.ex. cyberangrepp, har det konstaterats från flertalet europeiska myndigheter och internationella organ att den tidigare regleringen inte är tillräcklig för dagens utmaningar. Tidigare reglering av operativ risk har framför allt skett genom att ställa krav på kapitaltäckning för sådana risker. En reglering av kapitaltäckning är dock till liten hjälp för att förebygga riskerna för, och reducera effekterna av, att ett företags väsentliga funktioner brister till följd av drift- och/eller systemstörningar.

Regleringen som införs genom DORA är därför av ett mer kvalitativt slag. Kraven som ställs rör IKT-riskhantering, IKT-incidenthantering, testning och hantering av tredjepartsrisker. Därutöver inrättas en europeisk tillsynsram för tredjepartsleverantörer som kategoriseras som kritiska, nya tillsyns- och sanktionsbestämmelser avseende de finansiella företagen samt regler om ett gemensamt informationsutbyte.

Tillämpningsområde och förhållande till andra regelverk

DORA omfattar, med några få undantag, alla finansiella företag och ställer krav på säkerheten i dessa företags nätverks- och informationssystem, d.v.s. elektroniska kommunikationsnät som medger överföring av signaler på något sätt, oberoende av vilken typ av information som överförs. Sådan säkerhet säkerställs i regel genom användning av IKT-tjänster, d.v.s. digitala tjänster som fortlöpande tillhandahålls genom IKT-system. De europeiska tillsynsmyndigheterna har i en kartläggning av användningen av IKT-tjänster i den finansiella sektorn gjort följande uppdelning av tjänsterna[1]:

  • mjukvaru- och applikationstjänster (IT-utveckling; paketerad mjukvara, licensiering och installation därav);
  • nätverksinfrastrukturtjänster (exklusive telekommunikationstjänster);
  • datacenter (fysisk yta);
  • IKT-konsulttjänster och kundanpassade tjänster;
  • informations- och cybersäkerhetstjänster (inbegripet kontroll och övervakning, penetrationstester etc.);
  • molntjänster (inbegripet samtliga leveransmodeller, t.ex. privata moln, publika moln, hybridmoln etc.); och
  • dataanalystjänster och andra datatjänster (t.ex. tillhandahållande av data, lagring, behandling och rapportering).

Med IKT-tjänster bör följaktligen förstås samtliga företagets digitala tjänster och processer, inbegripet molntjänster. DORA definierar däremot inte begreppet IKT-system men detta har tidigare definierats av Europeiska bankmyndigheten som en ”IKT-uppsättning som en del av en mekanism eller ett sammankopplande nätverk som stöder verksamheten i ett finansiellt företag”.

Artikeln kommer att fokusera på huvudreglerna i DORA men det finns vissa företag som på grund av sin storlek är undantagna, eller åtnjuter lättnader, från delar av DORAs tillämpningsområde, bl.a. s.k. mikroföretag.

Vissa krav på IKT-säkerhet återfinns även i direktivet om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (”NIS2-direktivet”)[2]. NIS2-direktivets tillämpningsområde är dock inte lika brett utan det överlåts till medlemsstaternas myndigheter att definiera vilka aktörer som ska betraktas som ”leverantörer av samhällsviktiga tjänster” och därmed falla inom ramen för direktivets tillämpningsområde. I den svenska implementeringen har hitintills endast vissa banker, handelsplatser, centrala motparter och värdepapperscentraler angivits som sådana.

NIS2-direktivets regleringar överlappar i många fall DORAs. Följaktligen uttalas i DORA att förordningen i dessa fall utgör lex specialis i förhållande till NIS2-direktivet. Det förekommer därutöver betydande överlappning i fråga om vissa bestämmelser i DORA å ena sidan och vissa av riktlinjerna från de europeiska tillsynsmyndigheterna (t.ex. riktlinjer om outsourcing och informations- och kommunikationssäkerhet) å andra sidan. Huruvida sådana riktlinjer fortsatt kommer att tillämpas parallellt med DORA, upphävas eller justeras i relevanta delar är fortsatt oklart. En översyn bör dock vara att vänta i denna del, åtminstone på sikt.

 

[1] ESAs Report on the landscape of ICT third-party providers in the EU – Overview of the high-level exercise (ESA 2023/22, 19/09/2023).

[2] Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela union, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972, och om upphävande av direktiv (EU) 2016/1148).

IKT-riskhantering

Styrning och organisation

Genom DORA införs en skyldighet för finansiella företag att implementera en intern styrnings- och kontrollram (”IKT-riskhanteringsram”) som ska beskriva företagets hantering av IKT-risker, d.v.s. alla risker som, om de inträffar, kan äventyra säkerheten i ett företags nätverks- och kommunikationssystem. IKT-riskhanteringsramen ska vara en integrerad del av företagets riskhantering och innehålla bl.a. strategier, riktlinjer och förfaranden som är nödvändiga för att skydda företagets IKT-tillgångar (i vilket även fysiska tillgångar och infrastrukturer inkluderas, i motsats till IKT-system) från skada och obehörig åtkomst. Företagens befintliga riskhanteringsramar bör således kunna användas som utgångspunkt för att inarbeta sådan hänsyn som ska tas enligt DORA.

Organisatoriskt är det styrelsen som är ansvarig för efterlevnaden av DORA. Hanteringen och övervakningen av företagets IKT-risker ska dock löpande skötas av en oberoende kontrollfunktion i andra linjen i enlighet med modellen med tre försvarslinjer. För mindre företag kan detta krav verka betungande och det finns inte bestämmelser i DORA om hur organisationen ska se ut i detalj. Mot bakgrund av proportionalitetsaspekten i regelverket och genom att ledning hämtas från hur mindre företag hanteras i befintliga regler om intern styrning och kontroll i exempelvis kreditinstitut och försäkringsföretag, är det sannolikt möjligt för mindre företag med en mindre komplex verksamhet att kombinera olika kontrollfunktioner, så länge företaget självt kan förklara varför den valda organisationen är lämplig. Även outsourcing av kontrollfunktionen är tillåten under förutsättning att det finansiella företaget genom lämpliga arrangemang (t.ex. relevanta uppföljningsmekanismer i outsourcingavtalet) behåller kontrollen över funktionen. IKT-riskhanteringsramen ska ses över minst en gång per år eller oftare vid uppkomst av IKT-relaterade incidenter, instruktioner från tillsynsmyndigheten eller slutsatser i testnings- och revisionsprocesser. Den ska därutöver underställas granskning av företagets internrevisionsfunktion på regelbunden basis.

Som en del av IKT-riskhanteringsramen ska ett finansiellt företag ha förberedda kriskommunikationsplaner som riktar sig till såväl kunder och allmänheten som motparter.

 

IKT-system

I det finansiella företagets arbete med att hantera IKT-risker ska det använda uppdaterade IKT-system, IKT-protokoll och IKT-verktyg som är lämpliga, tillförlitliga och har tillräcklig kapacitet för att behandla de uppgifter som krävs för att bedriva verksamheten.

Företagen ska även identifiera och klassificera sådana affärsfunktioner som stöds av IKT-system på ett lämpligt sätt för att kunna bedöma exponeringar och beroenden till enskilda system liksom systemens ömsesidiga beroenden till varandra. Som en del av denna identifiering är företagen också skyldiga att identifiera beroenden gentemot tredjepartsleverantörer av IKT-system.  

Därutöver behöver finansiella företag ha dokumenterade strategier, riktlinjer och förfaranden för hur IKT-system ska skyddas, innefattande t.ex. kryptering, automatiserade mekanismer för att isolera informationstillgångar vid cyberangrepp, lämpliga strategier för programfixar och uppdateringar, begränsning av åtkomsträttigheter etc. Det ska dessutom finnas mekanismer för upptäckt av onormal verksamhet och identifiering av s.k. single points of failure.

IKT-relaterade incidenter

DORA ställer krav på att finansiella företag ska ha en process för att upptäcka, hantera och rapportera IKT-relaterade incidenter. För att undvika dubbel rapporteringsskyldighet ska rapporteringskravet enligt betaltjänstlagen upphöra att gälla för finansiella företag som omfattas av DORA, även om incidenterna inte är IKT-relaterade. Hur rapporteringskraven enligt DORA förhåller sig till rapportering av händelser av väsentlig betydelse enligt Finansinspektionens allmänna råd (FFFS 2021:2) är dock oklart men det kan konstateras att en viss dubbelrapportering skulle kvarstå ändå, om de allmänna råden blir kvar.

Processen för hantering av IKT-incidenter enligt DORA ska innehålla bl.a. indikatorer för tidig varning, prioriteringsförfaranden och en beskrivning av förfarandena för att mildra effekterna av en incident. När det kommer till klassificering av incidenter (vilket får betydelse för hur olika incidenter ska prioriteras) uppställer DORA vissa faktorer som ska beaktas i fråga om dess allvarlighet:

  • antalet kunder/finansiella motparter/transaktioner som påverkas;
  • påverkan på företagets anseende;
  • varaktigheten (inklusive driftstopp);
  • geografisk spridning (särskilt om det finns en gränsöverskridande påverkan);
  • omfattning av dataförlust;
  • de berörda tjänsternas kritikalitet för företagets verksamhet; och
  • ekonomiska effekter.

Vissa väsentlighetströsklar och rapporteringsfrister till punkterna ovan kommer att preciseras genom tekniska standarder av de europeiska tillsynsmyndigheterna (konsultation pågår, se utkastet här).

Finansiella företag är även skyldiga att rapportera allvarliga IKT-relaterade incidenter till tillsynsmyndigheten, liksom vilka åtgärder som företaget har vidtagit för att mildra effekterna av incidenten. Det införs även en möjlighet att frivilligt rapportera vissa cyberhot som ett företag har identifierat, om företaget anser att hotet är relevant för det finansiella systemet eller kunderna. Standardiserade mallar för formen för och innehållet i såväl obligatoriska som frivilliga rapporter kommer att tas fram av de europeiska tillsynsmyndigheterna.

Testning

Finansiella företag ska i förebyggande syfte genomföra testning av dess IKT-system. Även här blir det följaktligen av vikt att företagen har en fullgod överblick av dessa system. Med testning avses att företaget ska identifiera svagheter, brister och luckor i dess motståndskraft och snabbt genomföra korrigerande åtgärder. Testningen ska vara en del av IKT-riskhanteringsramen samt vara riskbaserad och lämplig. Lämpliga tester som nämns i DORA är bl.a. sårbarhetsanalyser, analyser av öppen källkod och penetrationstester.

De allra flesta företagen som omfattas av DORA ska minst en gång vart tredje år genomföra avancerade tester med hjälp av hotbildsstyrd penetrationstestning. Denna testning ska fokusera på företagets kritiska eller viktiga funktioner och som huvudregel genomföras av externa personer. Tekniska standarder avseende krav på den hotbildsstyrda penetrationstestningen kommer att komma från tillsynsmyndigheterna.

Kraven på testning kan verka betungande, även om dess omfattning inte fullt ut går att fastställa ännu. DORA ger dock möjligheten, under vissa förutsättningar, för finansiella företag att genomföra gemensam testning av sådana IKT-system som flera finansiella företag använder.

Hantering av IKT-tredjepartsrisker

Det är vanligt att finansiella företag använder sig av outsourcing för användning av IKT-tjänster i dess verksamheter. En grundläggande princip för sådan outsourcing, även innan DORA, är att det finansiella företaget alltid är ytterst ansvarigt för efterlevnad av de regelverk som finns. DORA ställer följaktligen krav på att det ska finnas strategier för outsourcing i IKT-riskhanteringsramen, registerföring om användningen av olika tredjepartsleverantörer, rapportering av outsourcing-arrangemang, riskbedömningar innan avtal om outsourcing ingås, övervakning av tredjepartsleverantörens leverans av IKT-tjänsten och vissa avtalsbestämmelser som anses vara särskilt viktiga. Tillsynsmyndigheterna kommer att ta fram standardavtalsklausuler, vilka de finansiella företagen åläggs att ”överväga” att använda.

I riskbedömningen av IKT-tredjepartsrisker ska särskild vikt läggas vid eventuella koncentrationsrisker. Faktorer som ska beaktas i den bedömningen är t.ex. huruvida tredjepartsleverantören är lätt utbytbar eller om flera kritiska eller viktiga funktioner outsourcas till samma, eller nära anknutna, tredjepartsleverantörer. Finansiella företag ska även bedöma lämpligheten i leverantörskedjan, t.ex. kan en komplex kedja påverka företagets (eller tillsynsmyndighetens) möjlighet att effektivt övervaka den avtalade leveransen. Det blir följaktligen allt viktigare att ha en god styrning över sina outsourcing-arrangemang och att föra ett överblickbart register över såväl motparter som motparternas underleverantörer.

Tredjepartsleverantörer

De europeiska tillsynsmyndigheterna åläggs i DORA att införa en klassificering av sådana tredjepartsleverantörer som anses vara kritiska för finansiella företag. Bedömningen ska göras med ett systemstabilitetsperspektiv, d.v.s. utifrån bl.a. vilken systempåverkan ett driftavbrott i tillhandahållet hos tredjepartsleverantören skulle få på stabiliteten, kontinuiteten eller kvaliteten i tillhandahållandet av finansiella tjänster i vid bemärkelse.

De tredjepartsleverantörer som blir klassificerade som kritiska kommer att få en ledande tillsynsmyndighet utsedd till sig och de ska själva, i de fall de ingår i en koncern, utse en juridisk person i koncernen som ska agera som samlingspunkt för kommunikation med den ledande tillsynsmyndigheten. Kommissionen har givits ett bemyndigande att anta delegerade akter baserat på tekniska standarder som har tagits fram av de europeiska tillsynsmyndigheterna för att specificera kriterierna som ska ligga till grund för utseendet av kritiska tredjepartsleverantörerna (se de tekniska standarderna här). De europeiska tillsynsmyndigheterna ska årligen offentliggöra en förteckning över vilka leverantörer som omfattas av tillsynsramen. Tillsynen ska bestå i bl.a. att kontrollera huruvida tredjepartsleverantören har sunda och effektiva regler och förfaranden för att hantera den IKT-risk som den kan medföra för finansiella företag. För att kunna utföra sitt uppdrag har tillsynsmyndigheten rätt att begära ut information från, företa utredningar om och genomföra inspektioner av tredjepartsleverantören.

Även tredjepartsleverantörer som inte kommer att klassificeras som kritiska påverkas också av DORA. Finansiella företag kommer att vara skyldiga att ställa allt fler och mer detaljerade krav på sina outsourcing-arrangemang. Därutöver kan en leverantör vara skyldig att delta i dess kunders säkerhetstester och utbildningsinsatser. För att kunna vara en IKT-leverantör till ett finansiellt företag blir det följaktligen allt tydligare att IKT-säkerhet är något som behöver tas på allvar. Det kan dessutom underlätta att ta ställning till hur de avtalsbestämmelser som DORA kräver på bästa sätt (d.v.s. såväl kommersiellt gångbart som säkerhetsmässigt kvalitativt) kan arbetas in i IKT-leverantörens allmänna villkor för dess IKT-tjänster.

Arrangemang för informationsutbyte

Enligt DORA får finansiella företag engagera sig i gemensamma arrangemang för utbyte av information och underrättelser om cyberhot, förutsatt att syftet med ett sådant arrangemang är att förbättra företagens digitala operativa motståndskraft och att hänsyn tas till informationens känslighet, dataskydd och konkurrensregler. Skulle ett finansiellt företag delta i ett sådant här arrangemang är det skyldigt att underrätta tillsynsmyndigheten.

Tillsyn och sanktioner

Finansinspektionen kommer att vara den svenska behöriga tillsynsmyndigheten enligt DORA. Administrativa sanktioner som Finansinspektionen kommer att kunna tillgripa med anledning av förordningen inkluderar bl.a. föreläggande om att upphöra med ageranden som inspektionen anser strider mot DORA och vidta åtgärder, även av ekonomisk art, för att säkerställa att ett finansiellt företag uppfyller rättsliga krav. Sanktionerna måste dock vara effektiva, proportionella och avskräckande. Det står inte klart huruvida eventuell nationell, kompletterande lagstiftning avseende sanktionsmöjligheter kommer att införas eller om Finansinspektionens ingripandemöjligheter enligt befintlig lagstiftning anses vara tillräckliga.

Framåtblick

De första utkasten på tekniska standarder är för närvarande ute på remiss och kommer att skickas till kommissionen för antagande den 17 januari 2024. Nästa omgång av tekniska standarder ska antas av kommissionen den 17 juli 2024, varför vi troligen kan förvänta oss att utkast skickas på remiss under det första kvartalet 2024.

DORA ställer omfattande krav på riskhantering i finansiella företags digitala processer. Samtidigt är regleringen inte helt ny. Finansiella företag har under flera år arbetat med regulatoriska krav på outsourcing och IKT-säkerhet, vilket borde ge en god grund i arbetet med att implementera DORA.

Lindahl följer utvecklingen med stort intresse. Vid frågor om DORAs tillämpning på er verksamhet är ni välkomna att höra av er till någon av oss. Ni är också varmt välkomna till det seminarium som Lindahl anordnar på temat den 5 december 2023. Anmälan hittar ni här.

Registrera dig för e-postutskick

Prenumerera på Lindahls nyhetsbrev!

Besök sidan

Seminarium om DORA

Besök sidan

Relaterat

Kontakt

Vissa kakor är nödvändiga för webbplatsens funktionalitet, andra hjälper oss att förbättra din upplevelse genom att ge insikt i hur webbplatsen används. För mer information, besök vår cookiepolicy.

Nödvändiga cookies

Dessa cookies är nödvändiga för webbplatsens funktionalitet och kan inte inaktiveras.

Analytics cookies

Vi använder Analytics-kakor för att samla information och ge oss inblick i hur besökare använder vår webbplats. Vi anonymiserar IP-adresser i Google Analytics. Genom att klicka på Neka så kommer vi inte att spara dessa cookies.

Vi använder cookies för att undersöka hur vår hemsida används och ge våra besökare bästa möjliga upplevelse