DORA-förordningen, som syftar till att höja finansiella företags digitala operativa motståndskraft, ställer krav på en effektiv och ansvarsfull hantering av IKT-risker. Detta inkluderar risker som härrör från användningen av IKT-tjänster. En central fråga är därför vad som avses med IKT-tjänster och varför en korrekt avgränsning av begreppet är viktig.
Vad är IKT-tjänster?
IKT står för informations- och kommunikationsteknik. Enligt DORA avses med IKT-tjänster digitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare. Enligt definitionen omfattas även maskinvara som tjänst samt maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören. Traditionella analoga telefontjänster omfattas däremot inte.
Begreppet ska enligt DORA ges en vid tolkning. Detta innebär att begreppet omfattar många olika typer av tjänster, såsom molntjänster, over-the-top-tjänster för elektronisk kommunikation och datacentertjänster. Vidare omfattas inte bara IKT-tjänster som tillhandahålls av externa leverantörer utan även tjänster som tillhandahålls inom en finansiell koncern. Exempelvis kan ett dotterbolag tillhandahålla en IKT-tjänst till moderbolaget, andra dotterbolag eller filialer i en koncern.
Därutöver omfattas även IKT-tjänster som ett finansiellt företag tillhandahåller till ett annat finansiellt företag, även när företagen inte ingår i en koncern. I dessa fall kan företaget som tillhandahåller tjänsten klassificeras som tredjepartsleverantör enligt DORA. Även aktörer som tillhandahåller betalningshanteringstjänster eller driver betalningsinfrastruktur kan omfattas som leverantörer av IKT-tjänster.
Rättslig innebörd
Begreppet IKT-tjänster är centralt för tillämpningen av DORA:s regler om IKT-riskhantering och IKT-tredjepartsrisker. Klassificeringen av en tjänst som en IKT-tjänst har betydelse för vilka krav som aktualiseras enligt förordningen.
Att en aktör klassificeras som leverantör av IKT-tjänster kan innebära att reglerna om hantering av IKT-tredjepartsrisker blir tillämpliga, exempelvis i fråga om riskbedömningar och krav på hantering av leverantörsrelationer.
Praktiska konsekvenser
En korrekt bedömning av huruvida en tjänst utgör en IKT-tjänst i DORA:s mening är en förutsättning för att säkerställa efterlevnad av regelverkets krav på effektiv och ansvarsfull hantering av IKT-risker, inklusive IKT-tredjepartsrisker.
Detta innebär att finansiella företag behöver identifiera och bedöma de digitala tjänster och datatjänster som används i verksamheten. I förekommande fall gäller detta även tjänster som tillhandahålls inom en koncern eller till andra finansiella företag.
Relaterad expertis
TechLaw bistår verksamheter med juridisk rådgivning i frågor som rör finansiell reglering, IT-säkerhet och regulatorisk regelefterlevnad i teknikdrivna miljöer. Läs mer om vår expertis inom finansiell reglering.
Har ni frågor om hur DORA-förordningen påverkar er verksamhet är ni välkomna att kontakta oss.
Källa: Förordning (EU) 2022/2554.