Sak & Liv använder cookies för att analysera trafiken & förbättra din användarupplevelse. Genom att använda webbplatsen så godkänner du detta. ✕

Logga in

Inte prenumerant? Klicka här för att registrera dig – helt gratis!

Glömt ditt lösenord?

Återställ ditt lösenord

  • Köp Premium
  • Prenumerera
  • Platsannonser
  • Logga in
    • Min profil
    • Logga ut
Försäkringsnyheter i framkant
Onsdag 29 Mars 2023
Sök
Search for:
1 månad - Allmänt

Så kan försäkringsbranschen förbereda sig för DORA redan nu

Foto: Dahlgren & Partners

• ”För några aktörer i branschen kommer DORA att vara en ren pina, för andra inte innebära väldigt stora ändringar, och för vissa aktörer kommer DORA att påverka verksamheten trots att den inte i formell mening gäller för dem aktörerna”, skriver advokaterna Magnus Hjertquist och Isabella Hugosson vid Advokatfirma Dahlgren & Partners i sin artikel om DORAs betydelse för försäkringsbranschen.

DORA är EU:s nya regelverk för digital motståndskraft i finanssektorn med bland annat krav på hur företag ska organisera sitt arbete kring cybersäkerhet och informationssäkerhet. Regelverket ska tillämpas från den 17 januari 2025, men det är viktigt att redan nu förbereda sig för den nya regleringen. DORA Magnus Hjertquist och Isabella Hugosson, advokater vid Advokatfirma Dahlgren & Partners, går i en artikel igenom de viktigaste frågeställningarna kopplade till DORA för försäkringsbranschen. 

DORA, eller Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011, ett nytt regelverk från Bryssel.

För några aktörer i branschen kommer DORA att vara en ren pina, för andra inte innebära väldigt stora ändringar, och för vissa aktörer kommer DORA att påverka verksamheten trots att den inte i formell mening gäller för dem.

It-säkerhet och cybersäkerhet är inte något nytt fenomen. Det har länge funnits oro kring digital sårbarhet och viss dragkamp mellan det gamla papperssamhället och den nya innovativa och effektiva digitala världen. Något som tidigare enbart kunde stjälas fysiskt kan nu även genom phishing, ransomeware, DDoS-attacker med mera störa en verksamhets drift och kontinuitet. Ett regelverk om en digital motståndskraft ter sig därför tämligen nödvändigt. Det är viktigt att finansiell verksamhet som tillhandahålls genom digitala tjänster, eller är beroende av digital drift, också kan upprätthållas på ett säkert och sunt sätt.

Vad innebär då DORA? Jo, en hel del krav på hur verksamheten organiserar sitt arbete med cybersäkerhet och informationssäkerhet men även kontroll av IKT-leverantörer och en ny roll för tillsynsmyndigheterna att granska kritiska tredjepartsleverantörer.

Innan vi går in på de viktigaste kraven i DORA så vill vi understryka att vissa av kraven i DORA redan gäller genom Eiopas riktlinjer för säkerhet och företagsstyrning avseende informations- och kommunikationsteknik (Eiopa-BoS-20/600) (”IKT-riktlinjerna”). Skillnaderna behöver varje aktör som införlivat IKT-riktlinjerna kontrollera i en egen GAP-analys. En stor skillnad är dock att DORA gäller för betydligt fler aktörer och innebär mer omfattande krav. Tanken med DORA är att skapa gemensamma standarder och krav inom informationssäkerhet inom hela bank- och finansbranschen. Ett försäkringsföretag som fullt ut infört IKT-riktlinjerna har gjort en stor del av arbetet — men inte allt.

Vi ska här göra ett försök att ringa in de viktigaste definitionerna och kraven i DORA nedan.

Vilka träffas av DORA och i vilken omfattning behöver de tillämpa DORA?

Förordningen ska tillämpas av så kallade ”finansiella entiteter” och av tredjepartsleverantörer av IKT-tjänster. Med ”finansiella entiteter” avses bland annat försäkrings- och återförsäkringsföretag; försäkringsförmedlare, återförsäkringsförmedlare och försäkringsförmedlare som bedriver förmedling som sidoverksamhet; och tjänstepensionsinstitut. Det är mer än 20 olika entiteter som ingår i begreppet ”finansiella entiteter”, att jämföra med exempelvis SFDR:s begrepp ”finansmarknadsaktörer” som består av cirka tio stycken aktörer.

DORA innehåller undantag och regellättnader beroende på de finansiella entiteternas storlek, genom definitioner av mikroföretag, små och medelstora företag.

Med mikroföretag avses för flertalet finansiella entiteter en aktör med färre än tio anställda och en årsomsättning och/eller årlig balansomslutning som inte överstiger 2 miljoner EUR.

Ett litet företag är en finansiell entitet med tio eller fler anställda men färre än 50 anställda och en årsomsättning och/eller årlig balansomslutning som överstiger 2 miljoner EUR men som inte överstiger 10 miljoner EUR. Med medelstort företag avses en finansiell entitet som inte är ett litet företag och som har färre än 250 anställda och en årsomsättning som inte överstiger 50 miljoner EUR och/eller en årlig balansomslutning som inte överstiger 43 miljoner EUR.

Utöver definitionerna ovan av mikroföretag, små och medelstora företag så finns även, bland annat, en definition av ett ”litet tjänstepensionsinstitut” som förvaltar pensionsplaner som tillsammans inte har fler än totalt 100 medlemmar. Ett sådant tjänstepensionsinstitut har regellättnader som mikroföretag inte har. Dessa lättnader innebär krav på en förenklad IKT-riskhanteringsram.

Ett tjänstepensionsinstitut med högst 15 medlemmar är helt undantaget från DORA. Detsamma gäller försäkringsförmedlare, återförsäkringsförmedlare och försäkringsförmedlare som bedriver förmedling som sidoverksamhet, i den mån de är mikroföretag eller små eller medelstora företag. Likaså är försäkrings- och återförsäkringsföretag som avses i artikel 4 i direktiv 2009/138/EG undantagna från DORA, det vill säga försäkringsföretag som är undantagna från Solvens 2-direktivet på grund av storlek.

Styrning och organisation

DORA ställer krav på att ha en intern styrnings- och kontrollram som säkerställer en effektiv och ansvarsfull hantering av IKT-risker. Styrelsen åläggs ansvar för att fastställa, godkänna, övervaka och genomföra alla arrangemang som rör IKT-riskhanteringsramen. Styrelsen ska bland annat införa strategier, förtydliga roller och ansvarsområden, ansvara för IKT-kontinuitetspolicy och åtgärds- och återställningsplaner, budget för IKT, inklusive utbildning och godkänna tredjepartsleverantörer av IKT-tjänster. Vidare ska alla finansiella entiteter utom mikroföretag inrätta en oberoende kontrollfunktion, en skyldighet som bland andra försäkringsföretag redan har genom IKT-riktlinjerna. Styrelsen åläggs med andra ord omfattande krav på styrningen och organisationen av IKT-risker.

IKT-riskhantering

Finansiella entiteter ska ha en ”sund, heltäckande och väldokumenterad IKT-riskhanteringsram” som ska hantera IKT-risker och säkerställa en hög nivå av digital operativ motståndskraft. Det kan noteras att ”IKT-risk” har en annan och vidare definition i DORA än i IKT-riktlinjerna.

IKT-riskhanteringsramen ska omfatta strategier, riktlinjer, förfaranden, IKT-protokoll och IKT-verktyg som är nödvändiga för skydda alla informations- och IKT-tillgångar. Ramverket ska regelbundet granskas och revideras och ansvaret för att hantera och övervaka IKT-risker ska överföras till en oberoende kontrollfunktion.

Det återfinns även krav på att dokumentera och införa processer för att identifiera (klassificera), förebygga, upptäcka, åtgärda och återställa IKT-tillgångar, risker, hot m.m.

IKT-relaterade incidenter

DORA ställer, liksom IKT-riktlinjerna, krav på att fastställa, inrätta och genomföra en process för att upptäcka, hantera och rapportera IKT-relaterade incidenter. De finansiella entiteterna är dock enligt DORA skyldiga att rapportera större IKT-relaterade incidenter till myndighet samt informera sina kunder, vilket är en skillnad mot IKT-riktlinjerna.

Testning av digital operativ motståndskraft

De som omfattas av DORA ska identifiera svagheter, brister och luckor i den digitala operativa motståndskraften och snabbt genomföra korrigerande åtgärder genom att inrätta, upprätthålla och se över ett sunt och heltäckande program för testning av digital operativ motståndskraft. Det kan röra sig om sårbarhetsanalyser och skanningar, analyser av öppen källkod, nätverkssäkerhetsbedömningar, gapanalyser, scenariobaserade tester, prestandatester och penetrationstester. Det finns även vissa krav på avancerade tester vilket ställer högre krav på de finansiella entiteterna. Hur testningen ska ske, organiseras och förvaltas kommer innebära en hel del jobb för de aktörer som ska följa DORA och inte redan idag arbetar aktivt med testning.

Hantering av IKT-tredjepartsrisker

Finansiella entiteter ska fastställa principbaserade regler för övervakning av risker relaterade till utlagd verksamhet och ställa krav på att avtal om utlagd verksamhet uppfyller vissa minimikrav på kontrakt. De ska även beakta överensstämmelsen med GDPR och den faktiska efterlevnaden av rätten i det land där tredjepartsleverantören är etablerad. De finansiella entiteterna ska även upprätthålla ett register över de kontrakt som innebär utlagd verksamhet och ska minst en gång per år rapportera om antalet nya arrangemang för användningen av IKT-tjänster, kategorierna av tredjepartsleverantörer av IKT-tjänster, typen av kontraktsmässigt arrangemang och de IKT-tjänster och funktioner som tillhandahålls. De ska även i god tid informera om eventuella planerade kontraktsmässiga arrangemang för användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner samt när en funktion har blivit kritisk eller viktig.

DORA innehåller även ett ramverk för övervakning av kritiska tredjepartstjänsteleverantörer av de europeiska tillsynsmyndigheterna (ESA).

Informationsdelning

Finansiella entiteter får utbyta information och underrättelser om cyberhot, tekniker och förfaranden i de fall sådant informationsutbyte anses förbättra den digitala operativa motståndskraften.

Tidplan för DORA

DORA publicerades i Europeiska unionens officiella tidning den 27 december 2022, trädde i kraft den 16 januari 2023, och ska tillämpas från den 17 januari 2025. DORA ska även, som många andra EU-regelverk, kompletteras med ”nivå 2-regleringar” i form av riktlinjer och tekniska standarder. Det kommer även delegerade akter för tillsynsramverket för kritiska tredjepartsleverantörer.

I januari 2023 utfärdade EU-kommissionen en uppmaning till råd från ESA. Tidsramen för ESA:s tekniska råd är den 30 september 2023.

Hur påverkar DORA branschen?

Många i branschen välkomnar säkert att vissa kritiska leverantörer kommer granskas och ”stämplas” som OK. Eftersom dataskyddsfrågor när leverantörer är etablerade i tredje land är och har varit en stor fråga ska det bli intressant att följa om regleringen och överväganden vid IKT-tjänster som stödjer viktiga och kritiska funktioner kommer innebära en större transparens och rörelse kring företagens olika bedömningar och tolkningar avseende tredjelandsöverföringar och/eller risk för sådana. Det blir även intressant hur ESA kommer ställa sig till dataskyddsfrågorna vid granskning och tillsyn av tredjepartsleverantörer som har anknytning till framförallt USA.

DORA kommer troligen påverka utvecklingen hos leverantörer till pensions- och försäkringsbranschen och kan möjligen antas öka antalet leverantörer som används – om exempelvis alla försäkringsföretag idag använder sig av samma leverantörer kommer vissa vara tvungna att byta? Kommer alla kunna ha samma mejlklient eller använda sig av Sharepoint?

Försäkringsförmedlare, återförsäkringsförmedlare och försäkringsförmedlare som bedriver förmedling som sidoverksamhet är undantagna från DORA i den mån de är mikroföretag, små eller medelstora företag. Men förmedlarnas arbete innebär ofta att de utför uppgifter som anses utgöra från försäkringsföretagen utlagd verksamhet enligt FRL/Solvens 2. Det är därför inte självklart att förmedlare som själva inte omfattas av DORA helt kan ducka kraven, även om deras tjänster inte utgör IKT-tjänster. Kraven som försäkringsföretag måste ställa på leverantörer vid utlagd verksamhet kommer medföra att många förmedlare ändå kommer omfattas av DORA ”via bakdörren”. Detta behöver förmedlarna vara medvetna om och jobba med.

Pensionsstiftelserna då? Tjänstepensionsinstitut med fler än 15 pensionsborgenärer omfattas som sagt av DORA, men små pensionsstiftelser, det vill säga de med fler än 15 men färre än 100 pensionsborgenärer, har lättnader i kraven då dessa omfattas av regler om en förenklad IKT-riskhanteringsram. Många pensionsstiftelser kommer dock att utgöra mikroföretag på grund av det låga antalet anställda vilket innebär en hel del undantag och regellättnader. Det bör observeras att detta dock endast gäller under den ytterligare förutsättningen att pensionsstiftelsens balansomslutning understiger 2 miljoner euro, se definitionen ovan för mikroföretag.

Försäkringsföretag och tjänstepensionsföretag som är lite större (det vill säga som ej är undantagna från DORA enligt art. 4 i Solvens II-direktivet) kommer behöva påbörja sitt arbete relativt snart. Regelverket innehåller många krav på processer och rutiner som kräver en djupare förståelse och förmåga att identifiera, hantera, åtgärda och förebygga IKT-risker. Samtidigt kommer många av de aktörer som omfattas av DORA ha en stor fördel av att ha införlivat IKT-riktlinjerna. För dessa gäller dock att en GAP-analys behöver utföras för att fastställa vad som saknas. Styrelsen som har ett stort ansvar avseende IKT-riskhanteringsramverket behöver relativt snart strukturera upp och fördela arbetet för att organisationen ska ha samtliga delar på plats i tid till den 17 januari 2025. DORA bör med detta sagt vara ett högprioriterat område under 2023—2024 för samtliga finansiella entiteter. Inte minst gäller detta mot bakgrund av att cybersäkerhet utgör ett av Finansinspektionens prioriterade områden för 2023.

DORA kan inte bara lämnas över för implementering till compliance, riskhanteringsfunktionen och/eller informationssäkerhetsansvarig. De aktörer som omfattas av DORA kommer behöva involvera stora delar av verksamheten och se till att resurser från såväl ledningen, IT, marknad/sälj och centrala funktioner ”krokar samman” i relevanta frågeställningar. Gemensamt arbete kan, utöver gap-analys i syfte att få kontroll över vad som krävs, avse att utveckla detektering av incidenter, utöka testning och få en fördjupad förståelse för vilken inverkan kritiska IKT-leverantörer har på aktörens IKT-risker. Dessa leverantörer kommer behöva involveras mer än någonsin i det interna IKT-arbetet.

Vi kan också redan nu börja se fram emot tekniska standarder för bättre ledning och ännu fler detaljer!

Magnus Hjertquist
Advokat, partner 

Isabella Hugosson
Advokat, partner

Advokatfirma Dahlgren & Partners

24 februari, 2023

Dina nya karriärmöjligheter

  • Head of Commercial Accounts
    Stockholm company logo
  • Ansvarig Kontinuitetshantering (BCM) - Agria
    Stockholm company logo
Se alla lediga jobb

Relaterade artiklar

  • 27 dagar
    Ny FI-rapport: Så ska kontrollen skärpas av outsourcad verksamhet
  • 2 månader
    Kontorsgemenskap mellan Dahlgren & Partners och Nordler
  • 3 ÅR OCH 2 månader
    PP Pension först ut med ombildning till tjänstepensionsföretag
  • 3 ÅR OCH 5 månader
    Så vill Svenskt Näringsliv, PTK och LO ändra på tjänstepensionslagarna
  • 3 ÅR OCH 7 månader
    Isabella Hugosson återvänder till Dahlgren & Partners

Här är bolagen som valdes ut i Collectums nya ITP-upphandling

8 timmar Läs mer
Kommentarerna från vinnarbolagen i Collectums ITP-upphandling
7 timmar Läs mer
SENASTE NYTT FRÅN SAK & LIV PREMIUM
cover image
FI:s rapport om översvämningarna i Gävle 2021
2023-03-29
cover image
Eiopas sammanställning av kostnader och avkastning i livbolag
2023-03-29
cover image
Folksams årsredovisning för 2022
2023-03-29
KÖP PREMIUM
Strategin för att hitta de bästa bolagen
Läs mer

FI efter översvämningarna i Gävle: Bolagen klarar katastrofer väl

12 timmar Läs mer
ANNONS

De senaste nyheterna
  • 7 timmar
    Kommentarerna från vinnarbolagen i Collectums ITP-upphandling
  • 8 timmar
    Här är bolagen som valdes ut i Collectums nya ITP-upphandling
  • 10 timmar
    Sampo delas upp — blir renodlad skadeförsäkringskoncern
  • 11 timmar
    Söderberg köper in sig i danska förmögenhetsrådgivaren TimeInvest
  • 12 timmar
    FI efter översvämningarna i Gävle: Bolagen klarar katastrofer väl
Sampo delas upp — blir renodlad skadeförsäkringskoncern
10 timmar Läs mer
""Vill du att din framtida pension ska åka jojo i ett socialiserat näringsliv?""
Fremias pensions- och försäkringsexpert Fredrik Mandelin går igenom Timbros rapport "Priset för pensionskedjebrevet" och formulerar en retorisk fråga "av timbrokaraktär" som skulle kunna avsluta inlägget — om man var lite raljant lagd.
Veckans mest lästa
  • 5 dagar
    Bara tre försäkringsföretag bland de mest attraktiva arbetsgivarna
  • 5 dagar
    Fick 1,2 Mkr av misstag från SEB Gamla Liv — slipper återbetalning
  • 6 dagar
    Trygg-Hansa stämmer If på 4,3 Mkr i tvist om trafikskadeersättning
  • 1 dag
    FI ska undersöka Nordnet Pension och Länsförsäkringar Fondliv
  • 3 dagar
    Evolis och Dinas bilförsäkring får kritik av Konsumentverket
Söderberg köper in sig i danska förmögenhetsrådgivaren TimeInvest
11 timmar Läs mer
Ny enkät från FI om kostnader och avkastning i livbolagen
15 timmar Läs mer
Åsa Röhs utsågs till ny VD för Länsförsäkringar Östgöta
15 timmar Läs mer
KPA Pension planerar för fusion av sina tjänstepensionsbolag
1 dag Läs mer
Försäkringsbyrån ansluter till Tydligas organisation
1 dag Läs mer
Micael Dahlen går in i styrelsen för Skandias stiftelse Idéer för Livet
1 dag Läs mer
Läs in fler artiklar

Sak & Liv Premium

Branschrapporter

Här finns Sak & Livs egna branschrapporter – med sammanställningar, analyser och fördjupningar kring aktuella ämnen.

Nyhetsfördjupning

Våra nyhetsfördjupningar ger dig en snabb bakgrund så fort det händer något av extra stort intresse i branschen.

Porträtt

Här möter du några av branschens mest intressanta personer och företag. Klicka för att läsa mer!

Rättsdokument

Här hittar du domar, stämningsansökningar och andra intressanta dokument med koppling till rättsfall som rör pensioner och försäkringar.

Årsredovisningar

Vi har samlat årsredovisningar för några av de mest centrala företagen i pensions- och försäkringsbranschen.

Allmänt

Utredningar, myndighetsrapporter, sammanställningar – här hittar du dokument av olika slag som vi tror att du kan vara nyfiken på!

FI:s rapport om översvämningarna i Gävle 2021

Finansinspektionen presenterade den 29 mars en rapport om hur försäkringsbolagen hantera översvämningarna i Gävle 2021 med fokus på finansiella frågor i relation till naturkatastrofsrisker.
2023-03-29

Eiopas sammanställning av kostnader och avkastning i livbolag

Eiopa publicerade i januari en sammanställning av kostnader och avkastning i livbolag i EU.
2023-03-29

Folksams årsredovisning för 2022

Folksamgruppen har publicerat sin årsredovisning för 2022.
2023-03-29

Skandias årsredovisning för 2022

Skandiakoncernen har publicerat sin årsredovisning för 2022.
2023-03-29

Pensionsmyndighetens rapport "Ett nytt Pensionssystem?"

Pensionsmyndigheten publicerade den 29 mars rapporten "Ett nytt Pensionssystem?", nummer 4 i myndighetens serie med rapporter om vägval för pensionssystemet.
2023-03-29

Fusionsplan för samgåendet inom KPA Pension

KPA Pension avser att genomföra en fusion mellan tjänstepensionsbolagen KPA Tjänstepensionsförsäkring AB och KPA Tjänstepension AB.
2023-03-28
Läs in fler dokument

SFM:s brev om provisionsförbud inom EU

SFM har skrivit ett brev till finansmarknadsministern om ett eventuellt provisionsförbud inom EU.
2023-03-09

Dom i tvisten mellan Kapitalgruppen och Småspararguiden

Dom har meddelats av Patent- och marknadsdomstolen vid Stockholms tingsrätt i det mål där Kapitalgruppen i Skandinavien AB stämt Småspararguiden för otillbörlig marknadsföring.
2023-03-09

HD:s beslut om prövningstillstånd i Sturecompagniet-målet

Högsta domstolen har beslutat att meddela prövningstillstånd i det mål där Sturecompagniet stämt Gjensidige för att få ersättning under sin epidemiförsäkring.
2022-11-25

Sakbolagens lönsamhet 2021

Sak & Liv har gjort en sammanställning av de större skadeförsäkringsbolagens lönsamhet 2021 samt under den senaste tioårsperioden.
2022-09-27

FI:s rapport om diskriminering av lojala försäkringskunder

FI har publicerat en rapport om hur lojala kunder kan tvingas betala högre försäkringspremier för hem- och villaförsäkring.
2022-07-01

Dom i Nyköpings tingsrätt efter försäljning av aktier i MM Holding

Nyköpings tingsrätt har meddelat dom i ett mål där en person åtalats för att ha sålt aktier i MM Holding utan att ta upp intäkten i deklarationen.
2022-06-26

FPK:s årsredovisning för 2018

Den 16 maj publicerade FPK sin årsredovisning för 2018.
2019-05-21

Pensionsmyndighetens årsredovisning för 2019

Pensionsmyndigheten har publicerat sin årsredovisning för 2019.
2020-03-03

Avanzas årsredovisning för 2019

Avanza Bank Holding AB (publ) publicerade den 21 februari som årsredovisning för 2019.
2020-02-21

Fjärde AP-fondens årsredovisning för 2018

Fjärde AP-fonden har publicerat sin årsredovisning för 2018. Du hittar årsredovisningen här. 
2019-02-25

Pensionsmyndighetens förteckning över godkända fonder v 10

Till och med vecka 10 hade Pensionsmyndigheten godkänt 38 fonder för premiepensionens fondtorg, enligt de nya regelverket.
2019-03-11

Domen i målet mot de tidigare cheferna i Allra

Den 31 januari meddelade Stockholms tingsrätt dom i målet där åtal väckts mot bland andra tidigare chefer för Allra. Samtliga åtalade frias av rätten.
2020-01-31
Ansvarig utgivare: Gunnar Loxdal, 0706 94 60 48
Mejladress till redaktionen: nyheter@forsakringsanalys.se
Vår postadress: Skandinavisk Försäkringsanalys, Helgag. 36M, 118 58 Stockholm
Om Sak & LivKontakta ossPlatsannonserAnnonsera

Missa inga viktiga nyheter om försäkring och pension!

Prenumerera på Sak & Livs nyhetsbrev – helt GRATIS!
Någonting gick fel! Det finns redan ett konto kopplat till din e-postadress.
Någonting gick fel! Försök igen senare. Kontakta oss ifall problemet kvarstår
Ja, jag har läst och godkänt användarvillkor och information om hantering av personuppgifter
Du måste godkänna användarvillkoren

Har du redan ett konto? Logga in

Välkommen som prenumerant! Du har fått ett mail med instruktioner på hur du aktiverar ditt konto.

Följ oss gärna i sociala medier: