Uppnår du kraven som ställs utifrån DORA?
Runt om i världen införs olika lagstiftningar för att minska riskerna och konsekvenserna av cyberattacker. Inom EU införs Digital Operational Resilience Act (DORA), vilket är en ny EU-förordning som syftar till att uppnå en hög nivå av digital operativ motståndskraft inom finanssektorn. Förordningen gäller både för företag inom EU och de som tillhandahåller tjänster till finansiella institutioner inom EU.
DORA omfattar olika finansiella bolag såsom banker, försäkringsbolag och investeringsföretag, samt deras IT-leverantörer. Målet är att förbättra den digitala motståndskraften mot cyberattacker inom en alltmer digital finansindustri. Med digital transformation och ett ökat digitalt samhälle över lag, blir företag mer sårbara för cyberattacker vilket kan leda till problem för det ekonomiska systemet och samhället som helhet.
DORA trädde i kraft redan i januari 2023 och måste vara fullt implementerad i berörda verksamheter senast den 17 januari 2025, med betydande påföljder (böter på upp till en procent av företagets dagliga globala omsättning) för bristande efterlevnad. Böter kan tilldelas dagligen till dess regelefterlevnad uppnås. Påverkan på anseende (reputation) och förlorad tillit från kunder kan bli än mer kostsamma.
Många företag saknar kapacitet att systematiskt bedöma cyberincidenter och analysera dess grundorsak. Dessutom saknar många organisationer en klar bild av vad som inkluderas i deras IT-tillgångar. DORA kräver att företag redogör för hur de kontinuerligt övervakar och hanterar sårbarheten hos sina IT-tillgångar. Riskhanteringsregimen i DORA kräver även en robust och motståndskraftig process vid hanteringen av tillgångarna.
I och med DORA införs nya regler för delning av information, hot och risker, vilket även kräver att företag, inom strikta tidsramar, informerar de europeiska tillsynsmyndigheterna om incidenter skulle inträffa.
Företag måste kunna påvisa att de löpande genomför tester som visar att deras IT-system är operativt motståndskraftigt. Under vissa omständigheter måste dessa tester utföras av en oberoende part. Därtill kommer att vissa finansiella institutioner dessutom måste genomföra avancerade tester av sina ICT-verktyg minst vart tredje år. Idag har endast ett fåtal företag sådana processer implementerade som uppfyller DORAs krav.
Med tanke på det arbete som krävs för att uppnå efterlevnad är tiden knapp. Många företag måste slutföra åtgärdsarbeten och övergå till cybersäkerhetslösningar som uppfyller DORAs krav. Finansiella tjänsteföretag måste också säkerställa att deras tredjepartsleverantörer följer regelverket.
Det första steget som nu bör vara slutfört är genomförandet av en omfattande gap-analys som identifierar områden som kan kräva ytterligare åtgärder. Berörda företag bör också skapa ett detaljerat register över deras IT-relaterade tredjepartsleverantörer, vilket krävs av DORA, för att identifiera områden med bristande efterlevnad genom hela leveranskedjan.
Tiden är nu knapp för att agera. Välkommen att kontakta oss på Forvis Mazars om du har ytterligare frågor kring DORA och dess implementering eller eventuell påverkan på ditt företag.
Kommentarer