DORA-förordningen ställer högre krav på företag inom finanssektorn

Ny EU-förordning om digital operativ motståndskraft ställer högre krav på företag inom den finansiella sektorn avseende it-risker.

Den 17 januari 2025 träder Europeiska unionens (EU) förordning om digital operativ motståndskraft inom den finansiella sektorn, även kallad DORA-förordningen, i kraft. Förordningen syftar till att säkerställa att aktörer inom det finansiella systemet har vidtagit de skyddsåtgärder som krävs för att motverka cyberattacker och andra IT-relaterade risker. Anledningen till detta är den växande sårbarheten för finansiella företag kopplat till it-risker och därmed ett ökat behov av reglering på området. Tanken är att förordningen ska bidra till mer enhetliga regler inom den finansiella sektorn och en ökad digital operativ motståndskraft. 

Med digital operativ motståndskraft avses ett företags förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet. Detta sker antingen direkt eller indirekt, med användning av informations- och kommunikationstjänster (IKT-tjänster) från en tredjepartsleverantör, varmed företaget kan säkerställa sin IKT-relaterade kapacitet. Med IKT-tjänster avses sådana digitala tjänster och datatjänster som fortlöpande tillhandahålls, till en eller flera interna eller externa användare, genom IKT-systemet. IKT-relaterad kapacitet är den kapacitet som behövs för att företaget ska kunna hantera säkerheten i de nätverks- och informationssystem som företaget använder sig av. Systemen stödjer det fortlöpande tillhandahållandet av finansiella tjänster och deras kvalitet, inklusive under avbrott. 

Vilka företag omfattas av de nya kraven?

DORA-förordningen omfattar i stort sett alla företag inom den finansiella sektorn. Som exempel på företag som träffas av DORA-förordningen kan nämnas: 

• kreditinstitut,

• betalningsinstitut,

• leverantörer av kontoinformationstjänster,

• värdepappersföretag,

• leverantörer av kryptotillgångstjänster,

• värdepapperscentraler,

• förvaltare av alternativa investeringsfonder,

• förvaltningsbolag,

• försäkrings- och återförsäkringsföretag, och

• tjänstepensionsinstitut.

Många av de företag som omfattas av DORA-förordningen står idag under Finansinspektionens tillsyn. Finansinspektionen kommer att ha ansvar för tillsynen av efterlevnaden av DORA-förordningen och även ges möjlighet att utfärda sanktioner i det fall att förordningens regler överträds. Vidare har Finansinspektionen, inför DORA-förordningens ikraftträdande, lämnat förslag på nya föreskrifter på området. Föreskrifterna föreslås framför allt ta sikte på vid vilken tidpunkt och vad rapporteringen till Finansinspektionen ska avse, samt hur rapporteringen ska ske. Finansinspektionens föreskrifter avses att träda i kraft den 17 januari 2025.

Vilka krav ställs på företag?

DORA-förordningen ställer bland annat krav på företag avseende:

• hanteringen utav risker inom IKT-teknologi,

• rapportering utav IKT-relaterade incidenter,

• tester avseende företags digitala operativa motståndskraft, och

• hanteringen utav IKT-relaterade tredjepartsrisker.

Med IKT-relaterade incidenter avses en enskild händelse eller en serie sammankopplade oplanerade händelser som äventyrar säkerheten i nätverks- och informationssystemet. Incidenten ska även ha en negativ inverkan på tillgängligheten, äktheten, integriteten eller konfidentialiteten vad gäller den data eller de tjänster som tillhandahålls av företaget. Incidenten ska vidare bedömas som allvarlig i det fall att den har en stor negativ inverkan på nätverks- och informationssystem som stödjer företagets kritiska eller viktiga funktioner. För att det ska anses vara fråga om en kritisk eller viktig funktion så krävs till exempel att ett avbrott i funktionen väsentligen skulle försämra företagets finansiella resultat eller sundhet, eller kontinuiteten i utövandet av dess tjänster och verksamhet.

DORA-förordningen uppställer dessutom krav på att företag ska ha en sund, heltäckande och väldokumenterad IKT-riskhanteringsram som en del av sitt riskhanteringssystem. Ramen ska vidare möjliggöra för företaget att på ett snabbt, effektivt och heltäckande sätt hantera IKT-risker, samtidigt som företaget säkerställer en hög nivå av digital operativ motståndskraft. Företag är dessutom skyldiga att, i syfte att kunna åtgärda och hantera IKT-risker, använda och upprätthålla IKT-system, IKT-protokoll och IKT-verktyg. Vidare uppställer förordningen krav på att företag ska identifiera, klassificera och på lämpligt sätt dokumentera IKT-stödjande affärsfunktioner, roller och ansvarsområden. Detsamma gäller de IKT-tillgångar som stödjer sådana funktioner eller roller. 

Sanktioner

Enligt DORA-förordningen framgår det att de behöriga myndigheterna, vilket i Sverige avses Finansinspektionen, ska ges möjlighet att vidta administrativa sanktioner och andra avhjälpande åtgärder. Enligt förordningen ges den behöriga myndigheten både tillsyns-, utrednings- och sanktionsbefogenheter i den mån som krävs för att myndigheten ska kunna fullgöra sina skyldigheter i enlighet med förordningen. Med sådana befogenheter avses bland annat att få tillgång till all dokumentation eller uppgifter som är relevanta för fullgörandet av myndighetens arbete, möjlighet att utföra kontroller eller inspektioner på plats, samt kräva korrigerande och avhjälpande åtgärder vid överträdelser av förordningens föreskrifter. Förordningen innebär dessutom en rätt för medlemsstaterna att fastställa regler om sanktioner och åtgärder, som är effektiva, proportionella och avskräckande. 

Exakt vilka tillsynsbefogenheter som Finansinspektionen, i egenskap av tillsynsmyndighet, kommer att tillhandahållas är inte ännu fastställt. Det framgår dock av en av Regeringen författad promemoria avseende DORA-förordningen att Finansinspektionen har tillsynsansvar i enlighet med förordningen och får lämna föreläggande om vite men också vidta en undersökning av verksamhetslokalerna som en del i sin tillsyn. Finansinspektionen ges vidare möjlighet att vidta ingripande mot finansiella företag som åsidosätter sina skyldigheter enligt förordningen. 

DORA-förordningen träder i kraft den 17 januari 2025. Samtidigt ändras flera EU-direktiv på finansmarknadens område. För att uppfylla förordningens krav, inklusive ge Finansinspektionen möjlighet att vidta tillsynsåtgärder, krävs flera lagstiftningsåtgärder i nationell rätt. Regeringen har därför antagit en ny lag med kompletterande bestämmelser till förordningen samt ändringar i flera andra lagar inom finansmarknaden. Den nya kompletteringslagen och övriga lagändringar träder i kraft den 17 januari 2025. 

Kommentar

Den 11 september 2024 publicerade Finansinspektionen en rapport avseende de finansiella företagens förberedelser inför DORA-förordningens ikraftträdande. Rapporten visar att en majoritet av de finansiella företagen bedömer att de ligger i fas med sina förberedelser och att flera av företagen använt sig av så kallade gapanalyser i förberedelsearbetet. Rapporten visar dock även att det finns en osäkerhet kring tolkningen av DORA-förordningen generellt, men i synnerhet förordningens definitionslista. Rapporten visar vidare att en hel del arbete kvarstår för företagen innan förordningens ikraftträdande.

Enligt Finansinspektionens rapport pågår således ett omfattande arbete inom finanssektorn inför att DORA-förordningen träder i kraft, samtidigt som en hel del förberedelser återstår. EY har gedigen erfarenhet av att utföra gapanalyser och hjälpa såväl nationella som internationella företag inom den finansiella sektorn med regulatoriska frågor och regelefterlevnad. Hör av er till oss om ni har några frågor eller vill veta mer.

Författare

• Anna Byström - Partner - Digital Law & Legal Operations, Corporate and Commercial Law – 073 441 71 59

• Andreas Blomquist - Partner - Capital Markets, Regulatory, EU and Competition Law - 073 684 52 12

• Johanna Hedlöf - Senior Manager - Financial Regulations and Digital Law - 072 396 08 16

• Cornelia Clarén - Associate - Financial Regulations, Sustainability and Corporate Law - 072 395 69 97