Hem > DORA
Vad är DORA?
DORA (Digital Operational Resilience Act) är en EU-förordning som syftar till att stärka den digitala motståndskraften hos företag inom den finansiella sektorn. Genom DORA-regelverket ställs tydliga krav på hur företag hanterar och minimerar IT-risker för att säkerställa att verksamheten kan fortsätta även under tekniska störningar eller cyberattacker.
Varför är det viktigt?
Lagstiftningen är viktig för att skydda från IT-relaterade hot och cyberattacker, som blir allt vanligare och mer sofistikerade. Genom att följa DORA-direktivet kan företag minska risken för allvarliga dataintrång, vilket skyddar kundernas känsliga information och upprätthåller förtroendet. DORA hjälper även till att standardisera hanteringen av IT-risker inom EU, vilket gör att verksamheter kan arbeta mer effektivt över landsgränserna. När det implementeras kommer det bli lättare att återhämta sig snabbt vid incidenter, vilket minskar potentiella ekonomiska förluster.
Vad innebär DORA-förordningen?
DORA-direktivet innebär att företag måste implementera åtgärder för att bättre hantera IT-risker. Det kräver att man genomför regelbundna systemtester, rapporterar alla incidenter och ser till att verksamheten har möjlighet att återhämta sig snabbt efter en teknisk incident.
Krav
Lagstiftningen innebär höga krav på att finansiella bolag att ha robusta system för att hantera IT-risker. De viktigaste kraven inkluderar:
- Ramverk för riskhantering av IT-system
- Incidenthanteringsplaner
- Rapportering av incidenter till tillsynsmyndigheter
- Tester för att säkerställa systemens motståndskraft
- Samarbete med tredjepartsleverantörer
Testa om ni uppfyller kraven
Genom att ta hjälp av företag som testar er IT-säkerhet kan ni kolla om ni lever upp till kraven i kontrollerade miljöer. Detta ger er en möjlighet att identifiera svagheter och förbättra er digitala motståndskraft innan eventuella problem uppstår. Secify är ett sådant företag och har själva skrivit om hur DORA-förordningen kan påverka bolag inom den finansiella sektorn och de är välinsatta i frågan.
Från när gäller förordningen?
Från och med den 17 januari 2025 finns det krav på verksamheter inom den finansiella sektorn att följa lagstiftningen. Efter detta datum måste alla berörda införa nödvändig implementering för att möta alla krav som ställs inom IT säkerhet och riskhantering. Genom att följa DORA-direktivet ska verksamheter kunna garantera att de kan hantera alla typer av risker. Fokus ska ligga på att minimera driftstörningar och skydda kunddata. Du kan läsa mer om DORA på EU:s hemsida.
För vem är det relevant?
Många aktörer inom den finansiella sektorn berörs av DORA-regelverket. Alla dessa verksamheter måste följa lagstiftningen för att kunna vara säkra på att deras IT-system och dagliga rutiner kan hantera dagens digitala hot. Dessa branscher omfattas av regelverket:
- Banker och kreditinstitut
- Försäkringsbolag
- Leverantör av kryptotjänster
- Värdepappersbolag och fondförvaltare
- Betaltjänstleverantörer och e-pengar-institut
- Pensionsfonder
- Finansförmedlare
- Tredjepartsleverantörer av IT-tjänster som samarbetar med finansiella företag
FAQ
Här har vi samlat och besvarat vanliga frågor kring DORA och vad det innebär för ditt företag.
Vad innebär sanktionsavgifter?
Sanktionsavgifter innebär att företag som inte följer regelverket får betala en avgift, den baseras på hur allvarlig avvikelsen är och ska vara effektiva, proportionella och avskräckande. För IT-tredjepartsleverantörer kan avgiften utdömas dagligen tills problemet åtgärdats. I vissa fall kan avgiften uppgå till 1 % av företagets globala omsättning.
Vilken myndighet ansvarar för sanktionsavgifter?
Det är de nationella tillsynsmyndigheterna i respektive EU-land som ansvarar för att övervaka efterlevnaden av regelverket och utfärda sanktionsavgifter. I Sverige är det Finansinspektionen som kommer att ha denna roll för företag inom den finansiella sektorn.
Är det obligatoriskt?
Ja, DORA är obligatoriskt för alla företag inom den finansiella sektorn och för de företag som levererar deras IT-tjänster. Alla som berörs måste följa regelverket och anpassa sig för att möta kraven.
Vad är skillnaden på DORA och IKT-system?
DORA är ett regelverk som styr hur företag ska hantera risker kopplade till IT och digital infrastruktur, medan IKT (Informations- och kommunikationsteknik) avser själva systemen och teknologin som används i dessa processer. DORA ska garantera att IKT-system är tillräckligt robusta för att motstå och hantera digitala hot och störningar.
