EU:s förordning om digital operativ motståndskraft för finanssektorn (DORA) syftar till att stärka finanssektorns förmåga att hantera cyberhot och andra IKT-relaterade störningar. Förordningen ställer enhetliga krav på säkerheten i organisationers nätverks- och informationssystem och innebär bland annat att finansiella entiteter måste införa strategier för digital operativ motståndskraft. En central fråga är därför vad som avses med begreppet digital operativ motståndskraft enligt DORA.
Vad är digital operativ motståndskraft?
Enligt artikel 3.1 DORA avser digital operativ motståndskraft en finansiell entitets förmåga att bygga upp, säkerställa och löpande se över sin operativa integritet och tillförlitlighet. Detta ska ske genom att säkerställa att den IKT-relaterade kapacitet som krävs för att upprätthålla säkerheten i entitetens nätverks- och informationssystem finns tillgänglig.
De aktuella systemen är sådana som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, även vid störningar eller avbrott. Förmågan att upprätthålla operativ integritet och tillförlitlighet kan säkerställas både genom interna system och genom användning av tjänster från tredjepartsleverantörer av IKT-tjänster.
Rättslig innebörd
Bestämmelsen använder flera begrepp som definieras närmare i DORA. Ett exempel är begreppet nätverks- och informationssäkerhet. Med detta avses förmågan att med en viss tillförlitlighetsnivå motstå händelser som kan undergräva tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via nätverks- och informationssystem (artikel 3.4 DORA och artikel 6.2 NIS 2-direktivet).
I kärnan handlar digital operativ motståndskraft därmed om att säkerställa höga standarder för tillgänglighet, autenticitet, integritet och konfidentialitet för data och system.
Ett annat centralt begrepp är IKT-tjänster. Enligt artikel 3.21 DORA avses digitala tjänster och datatjänster som tillhandahålls genom IKT-system till interna eller externa användare. Detta omfattar även maskinvara som tjänst och maskinvarutjänster som innefattar teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantörer. Traditionella analoga telefontjänster omfattas däremot inte.
Vanliga exempel på IKT-tjänster i finanssektorn är molntjänster, såsom SaaS-tjänster (Software as a Service) och PaaS-tjänster (Platform as a Service).
Praktiska konsekvenser
DORA:s definition av digital operativ motståndskraft innebär inte att finansiella entiteter ska undvika molntjänster eller andra IKT-tjänster. Tvärtom framgår det av förordningen att sådana tjänster kan vara ett viktigt verktyg för att säkerställa tillräcklig kapacitet och robusthet i organisationens system.
En avvägd användning av molntjänster bör därför normalt ingå i en finansiell entitets strategi för digital operativ motståndskraft. Den centrala frågan är inte om molntjänster kan användas, utan hur de integreras på ett sätt som uppfyller kraven på styrning, riskhantering och kontroll enligt DORA.
Digital operativ motståndskraft enligt DORA innebär därmed inte ett teknikförbud utan ett styrningskrav. För finansiella entiteter blir det avgörande att molnstrategier och andra IKT-lösningar är förenliga med reglerna om IKT-riskhantering, incidentrapportering och hantering av tredjepartsrisker.
Relaterad expertis
TechLaw bistår verksamheter med juridisk rådgivning i frågor som rör DORA, IKT-riskhantering och regulatoriska krav i finanssektorn. Läs mer om vår expertis inom finansiell reglering.
Har ni frågor om hur reglerna om digital operativ motståndskraft påverkar er verksamhet är ni välkomna att kontakta oss.
Källa: Förording (EU) 2022/2554.