EU:s förordning om digital operativ motståndskraft för finanssektorn (Digital Operational Resilience Act, DORA), är ett harmoniserat EU-regelverk som syftar till att stärka finanssektorns förmåga att förebygga, hantera och återhämta sig från IKT-relaterade störningar och cyberincidenter. Förordningen är direkt tillämplig i medlemsstaterna och började tillämpas den 17 januari 2025.
DORA omfattar ett brett spektrum av finansiella entiteter, däribland banker, värdepappersbolag, försäkringsföretag och vissa leverantörer av kryptotillgångstjänster. Regelverket inför en enhetlig ram för digital operativ motståndskraft och ställer mer detaljerade och bindande krav än tidigare sektorsspecifika riktlinjer.
Kärnan i DORA består av fem huvudsakliga områden:
- IKT-riskhantering, inklusive styrning, identifiering och skydd av digitala tillgångar
- Incidentrapportering, med harmoniserade krav på klassificering och rapportering av större IKT-incidenter
- Testning av digital operativ motståndskraft, såsom avancerade penetrationstester
- Hantering av tredjepartsrisker, särskilt vid användning av moln- och andra IKT-tjänster
- Informationsdelning, som möjliggör strukturerat utbyte av cyberhotinformation
DORA inför även en ny europeisk tillsynsram för kritiska tredjepartsleverantörer av IKT-tjänster, vilket innebär att vissa moln- och teknikleverantörer kan bli föremål för direkt EU-tillsyn.
Syftet med regelverket är att säkerställa att finansiella tjänster kan upprätthållas även vid allvarliga IT-störningar. För många organisationer innebär DORA därför omfattande arbete med styrning, dokumentation, avtalshantering och tekniska kontroller.
TechLaw bistår finansiella aktörer med kvalificerad rådgivning kring DORA och andra finansiella reglering, inklusive implementering av IKT-riskramverk, tredjepartsstyrning, avtalsgranskning och tillsynsfrågor. Kontakta oss för vidare rådgivning.