Finansiella institut utsätts för allt större press att säkra sin IT-infrastruktur mot cyberhot och samtidigt upprätthålla motståndskraften vid systemavbrott eller cyberattacker.
Detta har lett till att Europeiska unionen har infört DORA (Digital Operational Resilience Act), ett regelverk som syftar till att stärka finanssektorns förmåga att motstå och återhämta sig från digitala störningar.
DORA innebär en övergång till mer rigorösa standarder för finansiell motståndskraft för finansiella institut, med avgörande konsekvenser för teknikhantering, cybersäkerhet och riskreducering.
Vad är DORA?
DORA är en del av EU:s strategi för den digitala ekonomin och fokuserar särskilt på den digitala operativa motståndskraften i finansiella tjänster inom EU. Dess huvudmål är att säkerställa att finansinstituten kan fortsätta att fungera trots negativa digitala händelser, såsom cyberattacker, systemfel eller andra tekniska störningar.
Genom DORA inrättas en enhetlig regleringsstandard för finansföretag, vilket säkerställer enhetlighet i hela EU när det gäller hantering av operativa risker kopplade till informations- och kommunikationsteknik (IKT).
Viktiga pelare i DORA
DORA:s ramverk kretsar kring flera viktiga komponenter:
- Hantering av IKT-risker (informations- och kommunikationsteknologi): Finansiella institut måste upprätta robusta ramverk för hantering av IKT-risker, som omfattar regelbundna bedömningar, begränsningsplaner och svarsprotokoll. Detta ramverk måste uppdateras regelbundet för att ta hänsyn till nya hot.
- Rapportering av incidenter: DORA kräver att finansinstitut omedelbart rapporterar betydande IKT-relaterade incidenter till myndigheterna. Denna transparens underlättar inte bara riskbedömningen utan också samordnade insatser inom hela sektorn.
- Testning av digital motståndskraft: Regelbunden och omfattande testning, till exempel penetrationstestning och simuleringsövningar, är obligatoriska för att säkerställa att systemen kan motstå olika cyberattacker eller operativa fel.
- Riskhantering från tredje part: DORA utvidgar sitt regelverk till att omfatta tredjepartsleverantörer, till exempel molntjänstleverantörer, vars IKT-tjänster är kritiska för finansinstituten. Finansiella företag måste övervaka och hantera risker som är förknippade med dessa tredjepartsrelationer.
- Informationsutbyte: DORA uppmuntrar finansiella institut att dela med sig av information om digitala hot och bästa praxis. Detta kollektiva tillvägagångssätt för cybersäkerhet gör det möjligt för enheter att vara proaktiva när det gäller att försvara sig mot nya hot.
Vad DORA innebär för finansiella institut
För finansiella institut innebär DORA både en utmaning och en möjlighet att stärka den digitala motståndskraften. Några av de mest betydande effekterna är:
- Ökade krav på efterlevnad: DORA:s standarder kräver att finansiella institut ser över eller förbättrar sina befintliga ramverk för riskhantering, vilket kan kräva ytterligare resurser och personal som ägnar sig åt efterlevnad och cybersäkerhet.
- Ökat förtroende hos kunder och partners: Genom att anpassa sig till DORA kan finansiella institut visa sitt engagemang för en säker och motståndskraftig verksamhet. Detta kan leda till större förtroende från kunder och intressenter som prioriterar datasäkerhet och kontinuitet.
- Mer strukturerad tillsyn av tredje part: Finansiella institut måste också granska tredjepartsleverantörer, vilket innebär närmare tillsyn av leverantörer av till exempel molntjänster. Detta kan leda till starkare servicenivåavtal och mer rigorösa riskbedömningar av externa partners.
- Förberedelse för framtida hot: DORA:s krav på regelbunden testning tvingar finansinstituten att proaktivt anpassa sig till en föränderlig hotbild, vilket kan leda till lägre kostnader och minskat dåligt rykte till följd av intrång eller driftsstörningar.
Nästa steg
DORA förväntas träda i kraft fullt ut i alla EU-länder senast den 17 januari 2025, vilket ger finansinstituten tid att anpassa sin verksamhet till de nya standarderna. Efterlevnaden kommer sannolikt att kräva att finansinstituten investerar i teknik, kvalificerad personal och partnerskap som möjliggör agila svarsfunktioner.
För finansiella institut innebär DORA ett viktigt steg mot att säkerställa operativ kontinuitet och motståndskraft i en digital värld.