Förordningen om digital operativ motståndskraft för finanssektorn

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2022/2554 om digital operativ motståndskraft för finanssektorn (Digital Operational Resiliency Act – DORA) trädde i kraft den 17 januari 2023 och tillämpas från och med den 17 januari 2025.

Tillämpningsområdet för förordningen omfattar nästan alla aktörer under Finansinspektionens tillsyn. På Finansinspektionens webbplats (Regelverk/DORA) finns information om förordningen och om tillämpningen av den. Alla kompletterande regelverk på lägre nivå har ännu inte fastställts, men eventuella skillnader mellan regelverken och nu tillgängliga utkast är inte betydande och utgör inget hinder för företagen under tillsyn att förbereda sig för den förestående tillämpningen. Ingen övergångsperiod gäller för tillämpning av förordningen: kraven ska med andra ord följas från och med den 17 januari 2025. När förordningen träder i kraft, fokuserar Finansinspektionen i sitt tillsynsarbete på tillsynen av ramen för hantering av IKT-relaterade risker och informationssäkerhetsrisker hos företagen under tillsyn, rapporteringsprocessen för IKT-relaterade incidenter och IKT-leverantörernas riskhantering.

I Finansinspektionens föreskriftssamling slopas sådana föreskrifter och anvisningar som överlappar med förordningen. Rapporteringsanvisningarna uppdateras så att de motsvarar förordningen. Europeiska tillsynsmyndigheternas riktlinjer till företag under tillsyn om organisationen av hanteringen av IKT-relaterade risker och informationssäkerhetsrisker kommer antingen att uppdateras så att de överensstämmer med förordningen, eller upphävas.

Rapporteringen av IKT-relaterade incidenter enligt förordningen sker via Finansinspektionens e-tjänst på samma sätt som den nuvarande IKT-relaterade incidentrapporteringen. Ett nytt krav som ställs på alla som omfattas av förordningen är kravet att årligen rapportera kostnaderna för IKT-relaterade incidenter. Detaljerade anvisningar om rapporteringen kommer att läggas ut på Finansinspektionens webbplats.

Förordningen möjliggör frivilliga arrangemang för informationsutbyte om cyberhot mellan företagen under tillsyn och anmälan om cyberhot till tillsynsmyndigheten. När ett informationsutbyte inleds, ska företagen under tillsyn lämna in en fritt formulerad anmälan om detta till Finansinspektionen. Anmälan om cyberhot kan lämnas till Finansinspektionen via Finansinspektionens e-tjänst.

Ett nytt krav som ställs på alla som omfattas av förordningen är kravet att upprätthålla ett register över kontraktsmässiga IKT-arrangemang och årligen rapportera registret till Finansinspektionen. Detaljerade anvisningar för rapportering av registret kommer att läggas ut på Finansinspektionens webbplats. Europeiska tillsynsmyndigheterna har publicerat en rapport om erfarenheter av rapporteringsövningen som anordnades sommaren 2024 (meddelanden).

För de mest betydande företagen under tillsyn införs ett krav på hotbildsbaserade informationssäkerhetstest. Finansinspektionen meddelar före den 17 januari 2025 de företag under tillsyn som detta krav kommer att gälla.

Närmare upplysningar lämnas av

Pasi Korhonen, ledande specialist, tfn 09 183 55 14 eller pasi.korhonen(at)fiva.fi