Förordningen om digital operativ motståndskraft för finanssektorn
EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2022/2554 om digital operativ motståndskraft för finanssektorn (Digital Operational Resiliency Act – DORA) trädde i kraft den 17 januari 2023 och den tillämpas från och med den 17 januari 2025. I de europeiska finansmarknadsmyndigheternas arbetsgrupper bereds en reglering på lägre nivå (tekniska standarder) för att komplettera förordningen.
Förordningen gäller alla Finansinspektionens tillsynsobjekt, förutom arbetspensionsbolagen (Finlands arbetspensionssystem står utanför EU:s lagstiftning) och några små operatörer som specifikt definieras i förordningen. Förordningen innehåller krav, men vilka man strävar efter att förbättra finanssektorns förmåga att tåla fel och störningar i informationssystemen inom hela EU. Förordningen tillämpas med iakttagande av proportionalitetsprincipen, vilket innebär att de skyldigheter som ställs i förordningen står i proportion till den finansiella enhetens storlek och andra förhållanden. Som en följd av proportionalitetsprincipen tillämpas till exempel lindrigare krav på mikroföretag. Proportionalitetsprincipen kommer också att beaktas i de tekniska standarderna.
De åtgärder som krävs i förordningen motsvarar i stor utsträckning de krav som redan nu förutsätts av tillsynsobjekten i lagstiftningen och i Finansinspektionens föreskrifter och anvisningar samt i de europeiska finansmarknadsmyndigheternas anvisningar. Förordningen innehåller emellertid några enskilda nya krav och det är viktigt att tillsynsobjekten tar del av förordningen och gör nödvändiga ändringar i sina interna anvisningar och förfaranden. Det lönar sig att ta del av förordningen i god tid innan den börjar tillämpas. När den kompletterande regleringen på lägre nivå är klar ska tillsynsobjekten även i tillämpliga delar ta del av de tekniska standarderna. Finansinspektionen föreskrifter och anvisningar uppdateras att motsvara förordningen när de tekniska standarderna blir klara på hösten 2024.
Bestämmelserna om organiseringen av ICT-riskhanteringen är delvis mer detaljerade än tidigare och det finns också vissa nya krav. I praktiken motsvarar till exempel bankernas nuvarande förfaranden i stor grad de nya kraven eller kan till och med uppfylla dem, men hos många mindre tillsynsobjekt krävs större ändringar i de interna anvisningarna och förfarandena.
Innehållet i rapporteringen om ICT-relaterade incidenter och rapporteringens tröskelvärden ändras jämfört med gällande praxis. I praktiken kommer den information om ICT-relaterade incidenter som förutsätts i rapporteringen att öka något från de nuvarande.
Kraven på informationssäkerhetstest är mer detaljerade än för närvarande. För systemviktiga tillsynsobjekt (i praktiken banker, börsen, värdepapperscentralen, stora försäkringsbolag) införs ett nytt krav på hotstyrd informationssäkerhetstestning, vilken de flesta av dem i praktiken redan genomfört eller planerat enligt TIBER-FI-testningsschemat.
Kraven på hanteringen av utlagda ICT-verksamheter och utkontrakteringsavtal förenhetligas. I praktiken ska tillsynsobjekten lämna in något mer detaljerad information än tidigare om viktiga utkontrakteringar. För varje företag som tillhandahåller ICT-tjänster för den kritiska finanssektorn i EU-länderna inrättas en egen tillsynsram och varje kritisk tjänsteleverantör får en egen huvudsaklig tillsynsmyndighet, som är någon av de tre europeiska finansmarknadsmyndigheterna (EBA, ESMA eller EIOPA).
Förordningen möjliggör frivilliga arrangemang för informationsutbyte om cyberhot mellan tillsynsobjekten och underrättelse om cyberhot till tillsynsmyndigheten. I Finland har man redan ett sådant informationsutbyte i den samarbetsgrupp som leds av Cybersäkerhetscentret. Även tillsynsmyndigheten har underrättats om observerade cyberhot.
Q & A
Har ni för avsikt att auditera DORA?
- Vi kommer att övervaka efterlevnaden av de krav som DORA ställer.
Vad anser ni att särskilt kommer att förändras i och med DORA jämfört med tidigare krav? Vad anser ni att i synnerhet kommer att förändras när det gäller internrevisionens skyldigheter? Om dessa frågor som gäller riskhanteringssystemet, verksamhetens organisering, hanteringen och rapporteringen av incidenter, motståndskraften mot störningar samt utläggningar har varit föremål för internrevisionens riskbaserade granskning redan tidigare, finns det behov av att göra ändringar i revisionsprogrammet?
- Ändringarna är sådana att revisionsprogrammet sannolikt inte behöver ändras.
Har företaget under tillsyn ansvar för att motivera i dokumentationen hur och varför de krav som DORA-förordningen ställer har uppfyllts, eller räcker det med en dokumentation om genomförda åtgärder och Finansinspektionen bedömer tillräckligheten i förhållande till verksamheten hos företaget under tillsyn? Behöver ett företag under tillsyn som utöver småskalig verksamhet till exempel i dokumentationen ta ställning till varför alla krav som DORA ställer inte har uppfyllts?
- Ur anvisningarna och processbeskrivningarna för företaget under tillsyn framgår till stor del om kraven iakttas. Vi förväntar oss inte en separat dokumentation eller redogörelse över iakttagandet av DORA, även om en sådan skapas i praktiken hos företag under tillsyn i samband med implementeringen av DORA.
Hur ofta bör internrevisionen granska delområdet?
- Detta baserar sig på eget övervägande hos företaget under tillsyn.
Förblir kategoriseringen av aktörer under tillsyn oförändrad eller omkategoriserar Finansinspektionen företagen under tillsyn utifrån DORA? (För att kunna bedöma vilka skyldigheter riktas till respektive aktör utifrån bestämmelserna)
- Inga ändringar
Hurdana lättnader tillämpas på mindre aktörer, och har kriterierna för sådana mindre aktörer fastställts?
- Se DORA
Hurdana återverkningar har DORA på arbetspensionsförsäkringsbolagen, dvs. kommer den att tillämpas i någon situation, om ja, i vilken?
- DORA har inga direkta återverkningar, men det är möjligt att behovet för motsvarande krav på arbetspensionsförsäkringsbolag kommer att granskas i framtiden.
Påverkar det DORA-skyldigheterna (i lagens ögon eller i praktiken) om tjänsteleverantören är en sådan finansiell entitet som avses i DORA?
- Nej
Ska ett värdepappersföretag som fått s.k. Brexit-tillstånd (ITL 5:7.2) tillämpa DORA i sin verksamhet, om bolagets enda verksamhetsplats finns i England?
- DORA tillämpas inte direkt som sådan på tredjelandsföretag. I utkastet till regeringens proposition föreslås dock att en hänvisning till DORA läggs till i 7 kap. 2 § i lagen om investeringstjänster. Enligt 1 kap. 7 § i lagen om investeringstjänster tillämpas på tredjelandsföretag bland annat 7 kap. 2 § i lagen om investeringstjänster. Genom hänvisningen som föreslås för lagen om investeringstjänster skulle bestämmelserna i DORA tillämpas också på tredjelandsföretag som har auktorisation att tillhandahålla investeringstjänster i Finland.
Kan ni bekräfta att DORA-förordningen inte tillämpas på registreringsskyldiga förvaltare av alternativa investeringsfonder?
- DORA tillämpas inte på de förvaltare av alternativa investeringsfonder som avses i artikel 3.2 i direktivet 2011/61/EU.
Till vilka delar skiljer sig det förenklade IKT-riskhanteringssystemet (skyldigheterna enligt artikel 16) i praktiken från skyldigheterna som gäller mikroföretag? Utesluter dessa varandra eller kompletterar de varandra?
- Om mikroföretaget omfattas av artikel 16 tillämpas inte artikel 5–15.
Branschens reglering till exempel i fråga om riskhanteringssystemet har redan tidigare varit heltäckande – vad förändras nu och hur påverkar det de facto företagen?
- Största delen av kraven i DORA inkluderas redan i Finansinspektionens föreskrifts- och anvisningssamling samt i de europeiska tillsynsmyndigheternas riktlinjer och lagstiftning. Nu har kraven förenhetligats, delvis preciserats och vissa krav har lagts till. Bolagen bör gå igenom kraven i DORA och göra nödvändiga ändringar i verksamhetssätten och anvisningarna.
Hur och med vilken tidtabell implementeras DORA i föreskrifts- och anvisningssamlingen 8/2014?
- Föreskrifts- och anvisningssamlingen 8/2014 och de övriga föreskrifts- och anvisningssamlingarna uppdateras så att överlappningarna med DORA stryks. Uppdateringen görs på hösten 2024 och ändringarna träder i kraft den 17 januari 2025.
Kan ni ännu berätta om tidtabellen för godkännande av de förväntade RTS- och ITS-standarderna och om processen?
- RTS/ITS-utkasten har lämnats in för godkännande av kommissionen i två delar (1/2024 och 7/2024). Det finns ingen tidtabell för godkännandet, men sannolikt sker det under hösten. ITS-standarden, som definierar innehållet i IKT-avtalsregistret, återlämnades för beredning på sommaren (LEI kan inte användas).
Is the FIN-FSA, due to the DORA requirements on ICT-Incident Classification and Notification of Major ICT-related incidents, considering updates of FIVA 8/01.00/2014 chapter 9.1 "Reporting of disruptions and faults in operations”?
- Ja
Has the FIN-FSA considered replacing the requirements related to significant/key processes in FIVA 8/2014 with the DORA requirements related to Critical and Important Functions?
- Nej
Jag har förstått att DORA upphäver regleringen om PSD2-incidentrapporteringen och att i fortsättningen baserar sig regleringen till exempel om betaltjänsternas incidentrapportering direkt på förordningen (DORA). Finansinspektionen har flera gällande föreskrifts- och anvisningssamlingar i vilka man hänvisar till PSD2-regleringens krav i fråga om incidentrapporteringen. När kommer Finansinspektionen att uppdatera föreskrifts- och anvisningssamlingarna i fråga och ge anvisningar om nya rapporteringsskyldigheter för betaltjänster enligt DORA? När det gäller betaltjänster så innehåller så vitt jag förstår DORA också reglering om rapportering av operativa incidenter, alltså inte enbart av tekniska incidenter. DORA artikel 23 och DORA artikel 3:9. Uppdateras till denna del också Finansinspektionens anvisningar som gäller operativa risker och störningar?
- Ja, föreskrifts- och anvisningssamlingarna som gäller detta och den övriga rapporteringen samt de praktiska anvisningarna på Finansinspektionens webbplats kommer att uppdateras.
Kommer DORA att medföra uppdateringar, och med vilken tidtabell, av Europeiska bankmyndighetens riktlinjer "EBA:s riktlinjer för hantering av IKT-risker och säkerhetsrisker" eller Finansinspektionens föreskrifter och anvisningar 8/2014 "Hantering av operativa risker i företag under tillsyn inom finanssektorn" och Finansinspektionens föreskrifter och anvisningar 1/2012 "Utläggning i företag under tillsyn inom finanssektorn".
- Föreskrifts- och anvisningssamlingen 8/2014 och de övriga föreskrifts- och anvisningssamlingarna uppdateras så att överlappningarna med DORA stryks. Uppdateringen görs på hösten 2024 och ändringarna träder i kraft den 17 januari 2025.
- De europeiska tillsynsmyndigheterna uppdaterar anvisningarna som gäller DORA före den 17 januari 2025.
Vilka är minimikraven i DORA för hanteringen av IT-risker?
- Se DORA
Article 5.2 (g) – what types of costs should be included in the DORA budget other than costs related to resilience training?
- Alla kostnader som krävs för hantering av IKT- och informationssäkerhetsrisker enligt DORA.
Hur detaljerad ska riskhanteringens referensram vara, räcker det med att riskerna riktas till en särskild tillgångsklass eller krävs en mer detaljerad definition?
- Se DORA
Hur bör en liten aktör som använder nästan enbart utlagda tjänster förhålla sig till riskhanteringsmodellens detaljerade dokumentationskrav av teknisk natur?
- DORA-kraven bör iakttas
Kan man i incident-punkten använda riskbaserat övervägande?
- Nej, kraven och definitionerna i DORA bör iakttas
Vilka organisatoriska aktörer och roller anser ni att man i artikel 13:6 avser med personer i ledande ställning när man talar om olika aktörer på den finansiella sektorn och deras förvaltnings- och ledningsstrukturer?
- Med "personer i ledande ställning" avses här förutom den operativa ledningen också medlemmar i "ledningsorgan".
Artikel 27:1,2: har Finansinspektionen rekommendationer/verksamhetsmodeller för hur uppgifterna kommer att lämnas in till myndigheterna?
- En rapport som utarbetats om en omgranskning av IKT-riskhanteringssystemet lämnas in på begäran till Finansinspektionen enligt anvisningarna.
IKT-tjänster
- digitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster
"IKT-utläggning"
- Finansiella entitetens kontraktsmässiga arrangemang om användningen av IKT-tjänster för att sköta sin affärsverksamhet
Kritisk eller viktig IKT-utläggning
- stöder "en funktion vars avbrott väsentligt skulle försämra den finansiella entitetens finansiella resultat eller sundheten eller kontinuiteten i dess tjänster och verksamhet, eller om funktionens upphörande, brister eller misslyckande väsentligt skulle försämra en finansiell entitets fortsatta efterlevnad av villkoren och skyldigheterna i auktorisationen eller av dess övriga skyldigheter enligt tillämplig rätt avseende finansiella tjänster"
Hurdan dokumentation från tjänsteleverantörer är med beaktande av företaget under tillsyn "tillräcklig"?
- Se DORA
Hur ska företaget under tillsyn beakta DORA i befintliga avtal med tjänsteleverantörer?
- DORA ska iakttas från den 17 januari 2025
Påverkar det DORA-skyldigheterna (i lagens ögon eller i praktiken) om tjänsteleverantören är en sådan finansiell entitet som också avses i DORA?
- Nej
Hur bör man förfara med avtalskraven när det gäller sådana leverantörer med vilka den finansiella aktören inte har verkliga möjligheter att förhandla om avtalsvillkoren?
- DORA-kraven bör iakttas
- Datakommunikationstjänster som tillhandahålls av teleoperatörer är ett särskilt problem i detta avseende – vi kan för närvarande inte säga hur detta kommer att lösa sig
Ingår kreditupplysningstjänster i IKT-tjänster enligt DORA?
- Ja, med undantag av myndighetstjänster
Hur bör en finansiell aktör förhålla sig till användningen av nätbanken när det gäller DORA? Och hur bör kapitalförvaltare förhålla sig till investerarportaler som kommer "på köpet" med investeringen?
- De är IKT-tjänster
Hur små allmänna tjänster såsom analys av nättrafiken med Matomo eller förhindrande av blankettskräppost med Akismet-tillämpningen bör man med tanke på DORA behandla, då alla villkor som krävs inte kan inkluderas i avtalen men när det också handlar om en tjänst vars avskaffande allmänt taget inte har en betydande inverkan på tjänsterna?
- De är IKT-tjänster
For a Group consisting of several financial entities, will a centralized unit for submission of incident notifications and reports be considered as outsourcing to a third-party provider under Art. 19(5) of DORA?
- Detta är inte ett sådant kontraktsmässigt arrangemang som avses i DORA, men en mer omfattande IT-utläggning skulle vara det.
I DORA-förordningen definieras en kritisk eller viktig uppgift men ger Finansinspektionen detaljerade anvisningar för finansiella entiteters bedömning om vad som allmänt ska anses vara kritiska eller viktiga funktioner på den finansiella sektorn?
- Nej
När kan en underleverantör till ett företag under tillsyn definieras som kritisk eller viktig för företaget under tillsyn i enlighet med proportionalitetsprincipen? Hur bör företaget under tillsyn följa upp IKT-underleverantören när det är fråga om en leverantör som kunden definierat som en kritisk tredjepartsleverantör?
- Se DORA
Kan en tredjepartsavtalspart definieras som kritisk oberoende av storleken/kritikalitet hos företaget under tillsyn?
- Ja
Användning av LEI-koden i utläggningsrapporter: en finansiell aktör kan inte ingå ett avtal med en tjänsteleverantör som inte har en LEI-kod?
- Kommissionen återlämnade RTS-utkastet i fråga för beredning – LEI-koden kommer inte att användas.
Behöver IKT-utläggningsparten gå med på auditeringar som företaget under tillsyn genomför?
- Ja, om det är fråga om en kritisk eller viktig IKT-utläggning
Hur mycket kan man i auditeringar/testningar förlita sig på utredningar som tjänsteleverantören eventuellt redan genomfört själv?
- De tredjepartsbedömningar som tjänsteleverantören låtit göra spelar en betydande roll, på samma sätt som nu.
Molntjänstdata kan processas i väldigt många länder. Hur/med vilken precision bör detta faktum beaktas i avtal/riskhanteringssystemet/myndighetsrapporteringen?
- För IKT-riskhanteringen behövs information om var data behandlas.
Hur noggrant bör testningen av exitplanerna för centrala system beskrivas? När det gäller bassystemen är den enda exitplanen i praktiken anskaffningen av ett annat ersättande system.
- Se DORA
Om företaget skaffar alla sina IKT-tjänster från externa tjänsteleverantörer, behöver företaget själv utföra regelbunden testning av motståndskraften mot störningar för alla IKT-system som stöder kritiska eller viktiga funktioner, eller räcket det med att bolaget kräver att tjänsteleverantören av IKT-systemen testar motståndskraften mot störningar enligt kraven i DORA och levererar uppgifterna från testningsprogrammet och testresultaten till företaget?
- Man kan förlita sig på leverantörens tester.
När är den första rapporteringsdeadlinen?
- I fråga om IKT-avtalsuppgifter har avsikten varit att be om en första rapportering 3/2025, men detta kommer att flyttas fram.
Ska hela koncernen avge en gemensam DORA-rapport, eller ska företaget under tillsyn som tillhör koncernen rapportera självständigt, även om avtalen med IKT-tjänsteleverantörer till stor del har ingåtts på koncernnivå?
- IKT-avtalsuppgifterna kan rapporteras med en gemensam rapport.
Har ni någon allmän rapporteringsmall som ni önskar att man använder när det gäller DORA?
- Dessa fastställs i RTS/ITS-dokumenten och Finansinspektionen kommer att ge anvisningar om rapporteringen.
Beroendet av tredjepartstjänsteleverantörer har ökat avsevärt, särskilt i fråga om molntjänster, hur bör finansinstitut enligt DORA förhålla sig till hanteringen av dessa relationer och hur påverkar DORA detta mest? Vilka är förväntningarna beträffande den fortlöpande uppföljningen av tredje parter och säkerställandet av kravöverensstämmelsen för hela upphandlingskedjan jämfört med de tidigare riktlinjerna i fråga om EBA/FSA?
- Se DORA
Hur bör finansinstitut som tillhör organisationer med ISO 27001-certifikat och/eller som uppfyller kraven i NIS2 strategiskt och taktiskt anpassa sin praxis för att uppfylla kraven också i DORA utan överlappningar, som detta ofrånkomligen säkert ger upphov till? Man kan kortfattat och tillspetsat konstatera att ISO 27001 koncentrerar sig på informationssäkerhet och informationshantering på ett omfattande sätt och att NIS2 standardiserar skyldigheter på EU-nivå, såsom incidentrapportering och informationssäkerhetsskyldigheter. Finns det ett förenklat förhållningssätt till hanteringen och dokumentationen av dessa, eller en "best practice"-modell så att organisationen effektivt kan hantera flera regleringskrav? Till exempel att enkelt observera överlappande områden som man kan fokusera på med hjälp av verktyg, exempelvis i kombination med självutvärderingar eller andra motsvarande metoder? Detta är viktigt att genomföra, men för många mindre företag under tillsyn kan detta orsaka (inte nödvändigtvis) betydande utvecklingsbehov som självfallet medför direkta och indirekta kostnader. En del av ämnesområdena är dock i skick och en del kräver åtgärder, särskilt om NIS2 och ISO 27001 är under kontroll.
- Dessa frågor behandlas inte i DORA
Möjliggör proportionalitetsprincipen som nämns i DORA att olika IKT-tjänster som stöder en kritisk funktion behandlas på olika sätt beträffande kraven i DORA, beroende på hur betydande IKT-tjänsten i fråga är för den kritiska funktionens kontinuitet? Flera av skyldigheterna i DORA lämpar sig för IKT-tjänster och -system som "stöder" en kritisk funktion, även om dessa IKT-tjänster och system i sig själva inte är kritiska. Med en snäv tolkning av formuleringen i DORA gäller kraven alla IKT-tjänster och -system, bara de stöder den kritiska funktionen. Tillämpningen av proportionalitetsprincipen skulle möjliggöra ett mer riskbaserat förhållningssätt till hur omfattande riskhanteringsåtgärder krävs för respektive IKT-tjänst som stöder en kritisk funktion. Då kan man undvika att kraven i DORA tillämpas strikt på en IKT-tjänst som är obetydlig för den kritiska funktionens kontinuitet, till exempel avtalsvillkoren i artikel 30.3, exitstrategin i artikel 28.8 och den årliga testningen i artikel 24.6.
- Om en störning i IKT-tjänsten kan orsaka en störning i en kritisk eller viktig tjänst hos företaget under tillsyn är IKT-tjänsten kritisk.
Om ett avtal har ingåtts med tjänsteleverantören som i första hand gäller till exempel indrivning och tjänsteleverantören tillhandahåller förutom indrivningen också en webbportal som den finansiella entiteten kan hämta rapporter från, är det då fråga om en IKT-tjänsteleverantör?
- Nej
Article 5.3 – what does it mean to “monitor” the contracts concluded with third-party ICT service providers? Does it mean requirement setting and testing or also auditing?
- Se DORA
Incidentrapporteringen sker via FISA-systemet också i fortsättningen. Anmälan ändras till en webblankett och i fortsättningen finns det endast en blankett för incidentrapporteringen. Anvisningarna uppdateras under hösten.
- Finansinspektionen har tidigare indikerat att den under hösten kommer att publicera anvisningar bland annat i anslutning till incidentrapporteringspraxis. När kan man förvänta sig anvisningarna?
- Kommer det att bli ändringar i Finansinspektionens och/eller EBA:s PSD2-incidentrapporteringsmallar eller kommer de att förnyas helt och hållet?
- Is the FIN-FSA considering to develop and provide a template for notification of Major ICT-related incidents? Related to the submission of notification of Major ICT-related incidents, which channel will the FIN-FSA expect financial entities to use for the notification?
- Mottar Finansinspektionen endast incidentrapporter i enlighet med DORA från och med den 17 januari 2025?
- Tillhandahåller Finansinspektionen en webblankett eller till och med ett API-gränssnitt för rapporteringen?
Is incident reporting discussed and intended aligned with the other three Nordic FSAs?
- Det finns inga planer på detta men vi kommer att utreda frågan.
Kan en grupp med företag göra en gemensam anmälan om inledande av ett frivilligt informationsutbyte?
- Ja
Vilken myndighet kommer att övervaka och styra TLPT (Threat-Led Penetration Testing) i Finland? / Vilken instans i Finland kommer att fungera som TLPT Authority?
- Finlands Bank fortsätter att förvalta TIBER-FI-testningsschemat
- För SI-bankernas del ställer ECB/SSM TLPT-testningsskyldigheten och övervakar resultaten
- För övriga företag under tillsyn ställer Finansinspektionen TLPT-testningsskyldigheten och övervakar resultaten
När och i vilken kanal informeras finansiella aktörer om TLPT-skyldigheten? Med andra ord, vilka aktörer har skyldighet att genomföra TLPT-verksamheten som beskrivs i DORA?
- Tillsynsmyndigheten meddelar om TLPT-skyldigheten
- Finlands Bank fortsätter att förvalta TIBER-FI-schemat
- För SI-bankernas del ställer ECB/SSM TLPT-testningsskyldigheten och övervakar resultaten
- För övriga företag under tillsyn ställer Finansinspektionen TLPT-testningsskyldigheten och övervakar resultaten
Hurudana IKT-tjänster kommer att stå i fokus i TLPT-testningen och hur bör tekniska servicekedjor testas: 1) endast genom observation och rapportering inledningsvis eller 2) hela servicekedjans hierarki genom att producera testrapporter från varje nivå?
- Företagen planerar själva testningarna så att de iakttar kraven i DORA
Har ackrediteringen av TLPT-testpersonal/aktörer som tillhandahåller testning kommit i gång och är listan offentlig?
- Testning som utförts i Finland inom ramen för TIBER-FI-schemat följer kraven i DORA
- Om företaget vill själv ordna hela testningen ska företaget säkerställa att det följer kraven om TLPT-testningen i DORA
När meddelar Finansinspektionen/den behöriga myndigheten de finansiella entiteterna enligt artikel 26.8, 3?
- Före den 17 januari 2025
Hur bör en IT-tjänsteleverantör förbereda sig inför en situation där organisationen omfattas av både DORA (förmodligen som föremål för IKT-utläggning) och NIS2 (som IT-tjänsteleverantör). Till exempel i händelse av en incident, enligt vilken reglering ska man börja rapportera, till DORA-tillsynsmyndigheten eller NIS2-tillsynsmyndigheten eller båda?
- För närvarande rapporterar de finansiella företag i Finland som omfattas av NIS2-tillämpningsområdet endast till Finansinspektionen. Vi kan inte säga om kritiska IKT-tjänsteleverantörers rapportering kan ordnas endast till DORA- eller NIS2-tillsynsmyndigheten.
Det här är egentligen ingen fråga men information till exempel om JET- och LO-organiseringen, tidtabellen och samarbetet med myndigheterna skulle underlätta höstens planering tillsammans med CTPP.
- Organiseringen sker 2025.
Hur fastställs/vem fastställer vilka aktörer är så kallade "critical ICT third party provider”?
- Tillsynen som omfattar både de europeiska och nationella tillsynsmyndigheterna fastställer de IKT-tjänsteleverantörer som står under tillsyn utifrån den registerinformation som samlas in från företag under tillsyn. I praktiken torde detta ske på hösten 2025.
Se också
- Material av DORA evenemanget 6.9.2024 (pdf, på finska)
- Inspelning av DORA evenemanget 6.9.2024 (på finska)
- Digital Operational Resilience Act | European Banking Authority (europa.eu)
- ESAs published second batch of policy products under DORA | European Banking Authority (europa.eu)
- Regulation - 2022/2554 - EN - DORA - EUR-Lex (europa.eu)
- Delegerad förordning 2024/1772 om klassificeringskriterier för IKT-relaterade incidenter, väsentlighetströsklar, närmare uppgifter om rapporter om allvarliga incidenter
- Delegerad förordning 2024/1773 om innehållet i riktlinjerna för kontraktsmässiga arrangemang om användning av IKT-tjänster
- RTS delegerad förordning 2024/1774 (eur-lex 2024/1532) (DORA RTS, tekniska standarder för tillsyn som specificerar verktyg, metoder, processer och strategier för IKT-riskhantering och den förenklade IKT-riskhanteringsramen)
Företagen under tillsyn kan be om hjälp med att tolka förordningarna eller söka svar på redan ställda frågor:
- Q&A on regulation – EIOPA
- Q&A form – EIOPA
- Search QAs – EIOPA
- Joint Q&As – EIOPA
- Single Rulebook Q&A | European Banking Authority; EBA:s Q&A-webbplats
- Questions and Answers - ESMA; Esmas Q&A-webbplats