Punkterna du behöver ha koll på kring Dora-implementeringen
• Johanna Borg är Senior associate vid Kompass Advokat.
Det är viktigt att styrdokument och arbetssätt som krävs enligt Dora-förordningen är beslutade nu när Dora-förordningen ska börja tillämpas på allvar. Det skriver Johanna Borg, Senior Associate vid Kompass Advokat, i en artikel om punkter som är bra att ha koll på när det gäller Dora-implementeringen.
Nu är vi där! Från och med den 17 januari ska Dora-förordningen tillämpas av nästan alla företag i den finansiella sektorn. Äntligen, kanske någon tänker, medan andra ännu upplever att förberedelsetiden var för kort. Oavsett om ditt företag har kommit hela vägen med implementeringen av regelverket eller har en del kvar att arbeta med kommer här några punkter som kan vara bra att ha koll på.
Vi är många som har lagt mycket tid och möda på att förstå regelverket och genomföra det i de verksamheter som omfattas av EU:s förordning för digital operativ motståndskraft – Dora. Kanske har många delar av implementeringen fallit på plats i ditt företag, medan en del återstår.
Styrdokument och avtal med tredjepartsleverantörer
Som alltid är företagets styrelse ytterst ansvarig för verksamheten, så även enligt Dora, som lyfter fram ledningens centrala och aktiva roll i styrningen och anpassningen av IKT-riskhanteringsramen och den övergripande strategin för digital operativ motståndskraft. Det är alltså viktigt att styrdokument och arbetssätt som Dora kräver är beslutade nu.
Företagen ska på olika sätt identifiera och hantera IKT-risker. En särskild del av dessa risker kan kopplas till köp av IKT-tjänster, där Dora ställer upp särskilda krav på avtalen. Dels finns det grundläggande krav på innehållet i avtalen, dels särskilda krav för avtal om IKT-tjänster som stöder kritiska eller viktiga funktioner. Till det kommer ytterligare krav när underleverantörer används.
Informationsregistret
Avtal om IKT-tjänster ska dokumenteras i ett register. Så sent som i slutet av december 2024 antog EU-kommissionen slutligt de regler som anger hur registret ska se ut i detalj.
Efter att Finansinspektionen beslutat om föreskrifter om rapportering enligt Dora står det nu också klart att företagen ska lämna in sitt fullständiga informationsregister till Finansinspektionen första gången den 15 april 2025 och att det ska avse förhållandena vid utgången av mars 2025. Därefter ska registret rapporteras in till Finansinspektionen senast den 28 februari varje år. Företagen ska använda mallarna i EU:s förordning 2024/2956 och rapporteringen planeras att ske via Finansinspektionens inrapporteringssystem Fidac.
I och med att det fullständiga informationsregistret ska lämnas in varje år behöver företagen inte lämna någon särskild information om nya avtal enligt Dora. Det kan noteras att flera remissinstanser har ifrågasatt Finansinspektionens behörighet att besluta om att hela registret ska rapporteras in till myndigheten en gång per år, men att inspektionen har ansett sig ha sådan behörighet.
FI har nu också publicerat samlad information om Dora-rapportering på sin webbplats, där det går att läsa om rapporteringskraven av allvarliga IKT-relaterade incidenter och cyberhot samt den årliga rapporteringen av informationsregistret.
Incidenter
Företagen ska ha en process för att upptäcka, hantera och rapportera IKT-relaterade incidenter. Allvarliga IKT-relaterade incidenter ska rapporteras till Finansinspektionen, som har meddelat föreskrifter även på detta område. Finansinspektionen hänvisar bland annat till sitt inrapporteringssystem Fidac och till rapporteringsblanketter på webbplatsen.
Lärdomar av verkliga IKT-relaterade incidenter, särskilt cyberangrepp, ska också kommuniceras till företagets ledning med rekommendationer på åtgärder.
Strategi för testning
För att företagen ska kunna identifiera svagheter i sin digitala operativa motståndskraft och göra förbättringar där det behövs ställer Dora upp krav på testning. Företaget behöver därför ha ett testprogram som omfattar till exempel sårbarhetsanalyser, bedömningar av nätverkssäkerheten och fysiska säkerhetsgranskningar. Testningen behöver genomföras regelbundet, åtminstone årligen, avseende system som stöder kritiska eller viktiga funktioner, och resultaten ska kommuniceras uppåt i organisationen. Utifrån testresultaten ska företagen sedan kunna besluta om åtgärdsplaner.
Eiopa slopar IKT- och molntjänstriktlinjerna
I slutet av december 2024 meddelade Eiopa att de drar tillbaka sina IKT- respektive molntjänstriktlinjer och ändrar en Opinion. Skälet är att Eiopa vill undvika överlappningar med Dora, som ska vara heltäckande och omfattar samma mål och bestämmelser som riktlinjerna och Eiopas Opinion på området. Ändringarna gäller från och med den 17 januari 2025.
Johanna Borg
Senior associate
Kompass Advokat
