I januari nästa år träder EU:s förordningen för digital operativ motståndskraft — DORA — i kraft. DORA innebär nya krav på företag i den finansiella sektorn när det gäller it-risker. Kawin Mårtensson och Anna Lööv vid Kompass Advokat ger i en artikel för Sak & Liv tips för att lyckas med implementeringen av det nya regelverket.
Just nu arbetar många finansiella företag med att implementera regelverket om digital operativ motståndskraft.
Här kommer våra bästa tips för att lyckas med arbetet.
Säkerställ att styrelse, VD och ledning förstår arbetet som behöver göras
Att tonen från toppen är viktig vet vi alla. För att genomföra ett implementeringsarbete av den storlek och komplexitet som DORA innebär, måste styrelse, VD och ledning förstå vilket arbete som kommer att krävas.
En bra början är att utbilda denna grupp i vad regelverket innebär. Arbetet måste prioriteras och resurser måste finnas.
DORA-regelverket ställer också mycket tydliga och specifika krav på de individuella styrelseledamöterna, på ett sätt som vi normalt inte ser i sektorslagstiftningen.
Utgå ifrån befintlig organisation, personal och riskhanteringssystem
DORA-regelverket är visserligen nytt i många avseenden, men rent systematiskt inordnas det till stora delar inom ramen för redan befintliga regelverk som gäller för de finansiella företagen. IKT-risker, det vill säga risker relaterade till företagets informations- och kommunikationstillgångar (i dagligt tal it), är en operativ risk som redan ska hanteras av verksamheten.
Inventera vad som redan finns i form av till exempel informationstillgångsregister eller processförteckning, här kan stora delar av kartläggningen över IKT-tillgångar redan finnas. Leverantörsavtal, avtalsregister, incidenter och rapportering är områden inom DORA som ofta redan regleras i befintlig lagstiftning.
Blicka tidigt mot IKT-riskhanteringsorganisationen
Med DORA kommer krav på en utökad organisation med utgångspunkt i tre försvarslinjer inom IKT-risker. Om det är möjligt, ta utgångspunkt i företagets befintliga organisation och bestäm tidigt hur företaget ska organisera sig i enlighet med kraven avseende riskhanteringsorganisation i DORA. Om personer och roller tillsätts tidigt, kan det underlätta implementering och fortsatt förvaltning betydligt.
Projekt för implementering
De flesta företag inser tidigt att det behöver skapas ett särskilt projekt för regelverksimplementeringen. Det här är några punkter för att få projektet att fungera på rätt sätt:
- Lägg tid och resurser på att tänka igenom hur projektet ska se ut.
- Säkerställ att beslutsmandat och resurser finns.
- Projektets medlemmar behöver veta vad som förväntas av dem.
- Dela upp projektet i mindre delar och arbetsgrupper på det sätt som passar företaget.
- Tänk igenom hur ofta och i vilken omfattning styrelse, VD och ledning ska vara involverad.
- Dokumentera beslut och ställningstaganden så underlättas både pågående implementeringsarbete och den fortsatta förvaltningen.
Arbeta över kompetensgränserna
DORA-regelverket handlar om IKT-risker, men för att kunna hantera dessa och implementera regelverket behövs många specialistkompetenser. Förutom personer inom riskhantering och specifikt IKT-riskhantering, behövs kompetenser inom bland annat it och it-säkerhet, juridik, compliance, internrevision, inköp, leverantörsstyrning, outsourcing, kris- och incidenthantering, och i stort sett samtliga operativa delar inom verksamheten som hanterar någon form av informationstillgång.
Konkreta förändringsområden
Det går att konkretisera de områden som kommer att behöva förändras med anledning av DORA på många sätt. Ett sätt är att ta utgångspunkt i regelverkets olika huvudsakliga områden: IKT-riskhantering (inklusive styrning och organisation), IKT-incidenthantering, testning och tredjepartsrisker, det vill säga risker relaterade till IKT-leverantörer. Inom dessa områden finns många delar som kan konkretiseras och preciseras ytterligare; reviderade och nya policys och andra skriftliga dokument, kartläggning och klassificering av IKT-tillgångar och IKT-risker, register över IKT-incidenter, myndighetsrapportering, uppdaterade leverantörsavtal och uppdaterat avtalsregister.
Målgång och överlämning till förvaltning
Säkerställ att det görs en tillräcklig överlämning till fortsatt förvaltning. Det ska finnas ett ägande och en tidsatt åtgärdsplan för kvarvarande risker och frågetecken. Den första tiden i förvaltningen är en övergångsperiod som till stora delar innebär uppföljningsarbete utifrån projektets målgång. Det är även en god idé att planera in kontroller/granskningsaktiviteter av till exempel compliance och internrevison.
Kawin Mårtensson
Anna Lööv
Kompass Advokat