Så kan försäkringsbranschen förbereda sig för DORA redan nu
DORA är EU:s nya regelverk för digital motståndskraft i finanssektorn med bland annat krav på hur företag ska organisera sitt arbete kring cybersäkerhet och informationssäkerhet. Regelverket ska tillämpas från den 17 januari 2025, men det är viktigt att redan nu förbereda sig för den nya regleringen. DORA Magnus Hjertquist och Isabella Hugosson, advokater vid Advokatfirma Dahlgren & Partners, går i en artikel igenom de viktigaste frågeställningarna kopplade till DORA för försäkringsbranschen.
DORA, eller Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011, ett nytt regelverk från Bryssel.
För några aktörer i branschen kommer DORA att vara en ren pina, för andra inte innebära väldigt stora ändringar, och för vissa aktörer kommer DORA att påverka verksamheten trots att den inte i formell mening gäller för dem.
It-säkerhet och cybersäkerhet är inte något nytt fenomen. Det har länge funnits oro kring digital sårbarhet och viss dragkamp mellan det gamla papperssamhället och den nya innovativa och effektiva digitala världen. Något som tidigare enbart kunde stjälas fysiskt kan nu även genom phishing, ransomeware, DDoS-attacker med mera störa en verksamhets drift och kontinuitet. Ett regelverk om en digital motståndskraft ter sig därför tämligen nödvändigt. Det är viktigt att finansiell verksamhet som tillhandahålls genom digitala tjänster, eller är beroende av digital drift, också kan upprätthållas på ett säkert och sunt sätt.
Vad innebär då DORA? Jo, en hel del krav på hur verksamheten organiserar sitt arbete med cybersäkerhet och informationssäkerhet men även kontroll av IKT-leverantörer och en ny roll för tillsynsmyndigheterna att granska kritiska tredjepartsleverantörer.
Innan vi går in på de viktigaste kraven i DORA så vill vi understryka att vissa av kraven i DORA redan gäller genom Eiopas riktlinjer för säkerhet och företagsstyrning avseende informations- och kommunikationsteknik (Eiopa-BoS-20/600) (”IKT-riktlinjerna”). Skillnaderna behöver varje aktör som införlivat IKT-riktlinjerna kontrollera i en egen GAP-analys. En stor skillnad är dock att DORA gäller för betydligt fler aktörer och innebär mer omfattande krav. Tanken med DORA är att skapa gemensamma standarder och krav inom informationssäkerhet inom hela bank- och finansbranschen. Ett försäkringsföretag som fullt ut infört IKT-riktlinjerna har gjort en stor del av arbetet — men inte allt.
Vi ska här göra ett försök att ringa in de viktigaste definitionerna och kraven i DORA nedan.
Vilka träffas av DORA och i vilken omfattning behöver de tillämpa DORA?
Förordningen ska tillämpas av så kallade ”finansiella entiteter” och av tredjepartsleverantörer av IKT-tjänster. Med ”finansiella entiteter” avses bland annat försäkrings- och återförsäkringsföretag; försäkringsförmedlare, återförsäkringsförmedlare och försäkringsförmedlare som bedriver förmedling som sidoverksamhet; och tjänstepensionsinstitut. Det är mer än 20 olika entiteter som ingår i begreppet ”finansiella entiteter”, att jämföra med exempelvis SFDR:s begrepp ”finansmarknadsaktörer” som består av cirka tio stycken aktörer.
DORA innehåller undantag och regellättnader beroende på de finansiella entiteternas storlek, genom definitioner av mikroföretag, små och medelstora företag.
Med mikroföretag avses för flertalet finansiella entiteter en aktör med färre än tio anställda och en årsomsättning och/eller årlig balansomslutning som inte överstiger 2 miljoner EUR.
Ett litet företag är en finansiell entitet med tio eller fler anställda men färre än 50 anställda och en årsomsättning och/eller årlig balansomslutning som överstiger 2 miljoner EUR men som inte överstiger 10 miljoner EUR. Med medelstort företag avses en finansiell entitet som inte är ett litet företag och som har färre än 250 anställda och en årsomsättning som inte överstiger 50 miljoner EUR och/eller en årlig balansomslutning som inte överstiger 43 miljoner EUR.
Utöver definitionerna ovan av mikroföretag, små och medelstora företag så finns även, bland annat, en definition av ett ”litet tjänstepensionsinstitut” som förvaltar pensionsplaner som tillsammans inte har fler än totalt 100 medlemmar. Ett sådant tjänstepensionsinstitut har regellättnader som mikroföretag inte har. Dessa lättnader innebär krav på en förenklad IKT-riskhanteringsram.
Ett tjänstepensionsinstitut med högst 15 medlemmar är helt undantaget från DORA. Detsamma gäller försäkringsförmedlare, återförsäkringsförmedlare och försäkringsförmedlare som bedriver förmedling som sidoverksamhet, i den mån de är mikroföretag eller små eller medelstora företag. Likaså är försäkrings- och återförsäkringsföretag som avses i artikel 4 i direktiv 2009/138/EG undantagna från DORA, det vill säga försäkringsföretag som är undantagna från Solvens 2-direktivet på grund av storlek.
Styrning och organisation
DORA ställer krav på att ha en intern styrnings- och kontrollram som säkerställer en effektiv och ansvarsfull hantering av IKT-risker. Styrelsen åläggs ansvar för att fastställa, godkänna, övervaka och genomföra alla arrangemang som rör IKT-riskhanteringsramen. Styrelsen ska bland annat införa strategier, förtydliga roller och ansvarsområden, ansvara för IKT-kontinuitetspolicy och åtgärds- och återställningsplaner, budget för IKT, inklusive utbildning och godkänna tredjepartsleverantörer av IKT-tjänster. Vidare ska alla finansiella entiteter utom mikroföretag inrätta en oberoende kontrollfunktion, en skyldighet som bland andra försäkringsföretag redan har genom IKT-riktlinjerna. Styrelsen åläggs med andra ord omfattande krav på styrningen och organisationen av IKT-risker.
IKT-riskhantering
Finansiella entiteter ska ha en ”sund, heltäckande och väldokumenterad IKT-riskhanteringsram” som ska hantera IKT-risker och säkerställa en hög nivå av digital operativ motståndskraft. Det kan noteras att ”IKT-risk” har en annan och vidare definition i DORA än i IKT-riktlinjerna.
IKT-riskhanteringsramen ska omfatta strategier, riktlinjer, förfaranden, IKT-protokoll och IKT-verktyg som är nödvändiga för skydda alla informations- och IKT-tillgångar. Ramverket ska regelbundet granskas och revideras och ansvaret för att hantera och övervaka IKT-risker ska överföras till en oberoende kontrollfunktion.
Det återfinns även krav på att dokumentera och införa processer för att identifiera (klassificera), förebygga, upptäcka, åtgärda och återställa IKT-tillgångar, risker, hot m.m.
IKT-relaterade incidenter
DORA ställer, liksom IKT-riktlinjerna, krav på att fastställa, inrätta och genomföra en process för att upptäcka, hantera och rapportera IKT-relaterade incidenter. De finansiella entiteterna är dock enligt DORA skyldiga att rapportera större IKT-relaterade incidenter till myndighet samt informera sina kunder, vilket är en skillnad mot IKT-riktlinjerna.
Testning av digital operativ motståndskraft
De som omfattas av DORA ska identifiera svagheter, brister och luckor i den digitala operativa motståndskraften och snabbt genomföra korrigerande åtgärder genom att inrätta, upprätthålla och se över ett sunt och heltäckande program för testning av digital operativ motståndskraft. Det kan röra sig om sårbarhetsanalyser och skanningar, analyser av öppen källkod, nätverkssäkerhetsbedömningar, gapanalyser, scenariobaserade tester, prestandatester och penetrationstester. Det finns även vissa krav på avancerade tester vilket ställer högre krav på de finansiella entiteterna. Hur testningen ska ske, organiseras och förvaltas kommer innebära en hel del jobb för de aktörer som ska följa DORA och inte redan idag arbetar aktivt med testning.
Hantering av IKT-tredjepartsrisker
Finansiella entiteter ska fastställa principbaserade regler för övervakning av risker relaterade till utlagd verksamhet och ställa krav på att avtal om utlagd verksamhet uppfyller vissa minimikrav på kontrakt. De ska även beakta överensstämmelsen med GDPR och den faktiska efterlevnaden av rätten i det land där tredjepartsleverantören är etablerad. De finansiella entiteterna ska även upprätthålla ett register över de kontrakt som innebär utlagd verksamhet och ska minst en gång per år rapportera om antalet nya arrangemang för användningen av IKT-tjänster, kategorierna av tredjepartsleverantörer av IKT-tjänster, typen av kontraktsmässigt arrangemang och de IKT-tjänster och funktioner som tillhandahålls. De ska även i god tid informera om eventuella planerade kontraktsmässiga arrangemang för användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner samt när en funktion har blivit kritisk eller viktig.
DORA innehåller även ett ramverk för övervakning av kritiska tredjepartstjänsteleverantörer av de europeiska tillsynsmyndigheterna (ESA).
Informationsdelning
Finansiella entiteter får utbyta information och underrättelser om cyberhot, tekniker och förfaranden i de fall sådant informationsutbyte anses förbättra den digitala operativa motståndskraften.
Tidplan för DORA
DORA publicerades i Europeiska unionens officiella tidning den 27 december 2022, trädde i kraft den 16 januari 2023, och ska tillämpas från den 17 januari 2025. DORA ska även, som många andra EU-regelverk, kompletteras med ”nivå 2-regleringar” i form av riktlinjer och tekniska standarder. Det kommer även delegerade akter för tillsynsramverket för kritiska tredjepartsleverantörer.
I januari 2023 utfärdade EU-kommissionen en uppmaning till råd från ESA. Tidsramen för ESA:s tekniska råd är den 30 september 2023.
Hur påverkar DORA branschen?
Många i branschen välkomnar säkert att vissa kritiska leverantörer kommer granskas och ”stämplas” som OK. Eftersom dataskyddsfrågor när leverantörer är etablerade i tredje land är och har varit en stor fråga ska det bli intressant att följa om regleringen och överväganden vid IKT-tjänster som stödjer viktiga och kritiska funktioner kommer innebära en större transparens och rörelse kring företagens olika bedömningar och tolkningar avseende tredjelandsöverföringar och/eller risk för sådana. Det blir även intressant hur ESA kommer ställa sig till dataskyddsfrågorna vid granskning och tillsyn av tredjepartsleverantörer som har anknytning till framförallt USA.
DORA kommer troligen påverka utvecklingen hos leverantörer till pensions- och försäkringsbranschen och kan möjligen antas öka antalet leverantörer som används – om exempelvis alla försäkringsföretag idag använder sig av samma leverantörer kommer vissa vara tvungna att byta? Kommer alla kunna ha samma mejlklient eller använda sig av Sharepoint?
Försäkringsförmedlare, återförsäkringsförmedlare och försäkringsförmedlare som bedriver förmedling som sidoverksamhet är undantagna från DORA i den mån de är mikroföretag, små eller medelstora företag. Men förmedlarnas arbete innebär ofta att de utför uppgifter som anses utgöra från försäkringsföretagen utlagd verksamhet enligt FRL/Solvens 2. Det är därför inte självklart att förmedlare som själva inte omfattas av DORA helt kan ducka kraven, även om deras tjänster inte utgör IKT-tjänster. Kraven som försäkringsföretag måste ställa på leverantörer vid utlagd verksamhet kommer medföra att många förmedlare ändå kommer omfattas av DORA ”via bakdörren”. Detta behöver förmedlarna vara medvetna om och jobba med.
Pensionsstiftelserna då? Tjänstepensionsinstitut med fler än 15 pensionsborgenärer omfattas som sagt av DORA, men små pensionsstiftelser, det vill säga de med fler än 15 men färre än 100 pensionsborgenärer, har lättnader i kraven då dessa omfattas av regler om en förenklad IKT-riskhanteringsram. Många pensionsstiftelser kommer dock att utgöra mikroföretag på grund av det låga antalet anställda vilket innebär en hel del undantag och regellättnader. Det bör observeras att detta dock endast gäller under den ytterligare förutsättningen att pensionsstiftelsens balansomslutning understiger 2 miljoner euro, se definitionen ovan för mikroföretag.
Försäkringsföretag och tjänstepensionsföretag som är lite större (det vill säga som ej är undantagna från DORA enligt art. 4 i Solvens II-direktivet) kommer behöva påbörja sitt arbete relativt snart. Regelverket innehåller många krav på processer och rutiner som kräver en djupare förståelse och förmåga att identifiera, hantera, åtgärda och förebygga IKT-risker. Samtidigt kommer många av de aktörer som omfattas av DORA ha en stor fördel av att ha införlivat IKT-riktlinjerna. För dessa gäller dock att en GAP-analys behöver utföras för att fastställa vad som saknas. Styrelsen som har ett stort ansvar avseende IKT-riskhanteringsramverket behöver relativt snart strukturera upp och fördela arbetet för att organisationen ska ha samtliga delar på plats i tid till den 17 januari 2025. DORA bör med detta sagt vara ett högprioriterat område under 2023—2024 för samtliga finansiella entiteter. Inte minst gäller detta mot bakgrund av att cybersäkerhet utgör ett av Finansinspektionens prioriterade områden för 2023.
DORA kan inte bara lämnas över för implementering till compliance, riskhanteringsfunktionen och/eller informationssäkerhetsansvarig. De aktörer som omfattas av DORA kommer behöva involvera stora delar av verksamheten och se till att resurser från såväl ledningen, IT, marknad/sälj och centrala funktioner ”krokar samman” i relevanta frågeställningar. Gemensamt arbete kan, utöver gap-analys i syfte att få kontroll över vad som krävs, avse att utveckla detektering av incidenter, utöka testning och få en fördjupad förståelse för vilken inverkan kritiska IKT-leverantörer har på aktörens IKT-risker. Dessa leverantörer kommer behöva involveras mer än någonsin i det interna IKT-arbetet.
Vi kan också redan nu börja se fram emot tekniska standarder för bättre ledning och ännu fler detaljer!
Magnus Hjertquist
Advokat, partner
Isabella Hugosson
Advokat, partner
Advokatfirma Dahlgren & Partners