DORA-förordningen ställer krav på finansiella företags hantering av IKT-risker i syfte att säkerställa en lämplig nivå av operativ motståndskraft. Kraven är inte begränsade till tekniska åtgärder utan omfattar även åtgärder i avtal med tjänsteleverantörer, så kallade DORA-avtal. En central fråga är vilka krav DORA-avtal måste uppfylla för att säkerställa regelefterlevnad.
Vad är DORA-avtal?
DORA-avtal är speciella avtalstyper som återspeglar DORA-förordningens krav på avtal som ingås mellan finansiella entiteter och leverantörer av IKT-tjänster, som exempelvis leverantörer av molntjänster. Kraven är en central del av finansiella entiteters skyldigheter att hantera IKT-tredjepartsrisker inom ramen av sina IKT-riskhanteringsramar. DORA-avtal kan implementeras på olika sätt, som särskilda avtal eller bilagor till avtal eller integreras i redan befintliga avtalsstrukturer på annat sätt.
Rättslig innebörd
DORA-förordningen ställer såväl formella som innehållsmässiga krav på DORA-avtal. Exempel på formella krav är att DORA-avtal ska dokumenteras i ett skriftligt dokument som parterna ska ha tillgång till. Exempel på innehållsmässiga krav är tjänstebeskrivning, geografiska platser för behandling och lagring av data och bestämmelser om informationssäkerhet.
Särskilda krav ställs på DORA-avtal med leverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner. I sådana avtal ska, utöver de regleringar som gäller i vanliga fall, även ingå skrivningar om bland annat beredskapsplaner, penetrationstestning och exitstrategier.
Kraven som ställs på DORA-avtal existerar emellertid inte i ett vakuum utan är del av ett övergripande ramverk för riskhantering som ålägger finansiella entiteter långtgående skyldigheter; till exempel att granska tjänsteleverantören innan den anlitas. En särskilt viktig del i en sådan granskning är risker som härrör från avtalet mellan den finansiella entiteten och leverantören, inklusive men inte begränsat till DORA-avtalet.
Praktiska konsekvenser
Finansiella företag behöver beakta flera moment för att säkerställa att ett DORA-avtal uppfyller de krav som ställs i DORA-förordningen. För det första krävs att själva DORA-avtalet uppfyller kraven på form och innehåll. För det andra krävs en granskning av det specifika sammanhanget DORA-avtalet är ämnat att reglera, med särskilt fokus på risker kopplade till tjänsteleverantören.
En särskild utmaning som regelbundet förekommer i samband med avtalsförhandlingar är att det finansiella företaget och leverantören har olika syn på kravens innebörd. Relaterad därtill är en annan utmaning, en ensidig fokus på tekniska åtgärder som förbiser risker av juridisk natur. Ett sådant snävt tillvägagångssätt kan äventyra det finansiella företagets regelefterlevnad på juridiskt präglade områden som exempelvis intressekonflikter, leveranskedjor och inlåsningseffekter.
Finansiella företag behöver således säkerställa en helhetssyn på frågan om ett specifikt DORA-avtal uppfyller DORA-förordningens krav.
Kontakta oss
TechLaw bistår verksamheter med juridisk rådgivning i frågor som rör DORA, IKT-riskhantering och regulatoriska krav i finanssektorn. Läs mer om vår expertis inom finansiell reglering.
Har ni frågor är ni välkomna att kontakta Sebastian Berg, partner och jurist med bakgrund som beräkningsfysiker, specialiserad inom IT-rätt och AI i teknikintensiva verksamheter.
Källa: Förordning (EU) 2022/2554.