DORA påverkar EU:s sektor för finansiella tjänster, och denna lagstiftning är på väg att slå vågor i finansbranschen. Här är en titt på några av de DORA-förpliktelser som finansinstitut måste följa.
Finanssektorn har länge varit en teknikinnovatör och en föregångare. Framsteg inom bank- och finanssektorn har inneburit att den digitala omvandlingen inom branschen har gått framåt. Men ny teknik och nya arbetssätt lockar cyberkriminella. Resultatet är att attackerna mot finanssektorn ökar kraftigt.
Under 2021 kommer banksektorn att uppleva enökning av attacker med utpressningstrojaner med1 318 % , och 65 % av de stora finansiella organisationerna upplevde en cyberattack under 2020. Den allvarliga karaktären hos de alltmer komplexa och skadliga cyberattackerna inom den finansiella sektorn har lett till att ny lagstiftning har kommit in i lexikonet för reglering av finansiella tjänster, och dess namn är DORA (Digital Operational Resilience Act).
DORA-principer
Det första utkastet till DORA offentliggjordes den 24 september 2020, och den 10 september 2022 godkände Europaparlamentet det. Lagstiftningen kommer att spela en central roll i det "digitala finanspaketet", som används för att möjliggöra innovation och konkurrens inom digital finansiering och samtidigt minska de risker som uppstår till följd av branschens digitalisering.
Artikel 114 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) används som rättslig grund för DORA. Lagstiftningen är inriktad på att harmonisera riktlinjerna för cybersäkerhet inom hela sektorn.
EU använder gärna regleringsmetoder för att konsolidera och harmonisera bästa praxis; GDPR är ett exempel på en harmoniserad dataskyddsförordning; DORA är EU:s försök att konsolidera och uppgradera riskhanteringen för IKT inom hela den finansiella sektorn, och DORA påverkar EU:s finansiella tjänsteföretag och deras (kritiska) IKT-leverantörer.
DORA kommer att kräva att företag inom den finansiella sektorn genomför åtgärder som skyddar dem mot IKT-relaterade risker: DORA utvidgar kraven till att omfatta tredje parter, t.ex. molnleverantörer.
Vilka skyldigheter kräver DORA av finanssektorn?
Målet är att skapa en motståndskraftig miljö i hela ekosystemet för finansiella tjänster. Den underliggande ramen för DORA bygger på en uppsättning regler som är utformade för att hjälpa finansinstitut att utveckla robusta riskhanteringsprocesser. Några av de centrala kraven och täckningen i DORA är följande:
DORA:s räckvidd
Nästan alla typer av finansiella enheter kommer att omfattas av DORA. Till de enheter som omfattas hör kreditinstitut, betalningsinstitut, institut för elektroniska pengar, värdepappersföretag, leverantörer av tjänster för kryptotillgångar, alternativa investeringsfonder, försäkringsförvaltare osv. Undantaget är revisorer, som för närvarande inte omfattas av DORA-reglerna, men detta kommer sannolikt att ändras i framtida versioner av lagen. För en fullständig förteckning över de enheter som omfattas, se artikel 2 i DORA.
IKT-leverantörer som tillhandahåller tjänster till enheter som omfattas av DORA måste också följa lagen. IKT-leverantörer betraktas som centrala för finanssektorn och omfattas därför av stränga regler enligt DORA. Kritiska IKT-tjänsteleverantörer från länder utanför EU som tillhandahåller finansiella enheter i EU måste etablera ett dotterbolag inom EU.
IKT-leverantörer och DORA
Riskhantering för tredje part är en viktig del av DORA. Fokuseringen på IKT-leverantörer är en reaktion på ökningen av attacker i leveranskedjan, t.ex. uppdateringen av SolarWinds Orion-programvaran. Europeiska unionens byrå för cybersäkerhet (ENISA) rapporterade om en ökad sofistikering och volym av leveranskedjeattacker, där angriparna riktar in sig på leveranskedjan för att stjäla data och finansiella tillgångar. DORA samordnar kraven med hjälp av befintliga ramar, t.ex. riktlinjerna för utkontraktering från Europeiska bankmyndigheten (EBA). (Se även artikel 14 i DORA)
Enligt DORA kan finansföretag definiera vissa IKT-leverantörer som "kritiska". En kritisk IKT-leverantör som betjänar en DORA-täckt enhet kommer därför att omfattas av stränga regler som tillämpas genom direkt samarbete med EU:s myndigheter för finansiella tjänster (FS).
Viktiga åtgärder för cybersäkerhet
De centrala värderingarna i DORA-lagstiftningen är att upprätthålla motståndskraftiga IKT-system. För att uppnå detta har följande riktlinjer fastställts:
Riskhantering och motståndskraft
Kärnan i DORA är riktlinjer för riskhantering för att hjälpa sektorn för finansiella tjänster att bygga upp mer motståndskraftiga infrastrukturer. De resulterande riskhanteringsprogrammen och riskbedömningarna används som grund för tester av motståndskraft. Dessutom förväntar sig lagstiftningen att det ska genomföras analyser av verksamhetskonsekvenser som bygger på scenarier för "allvarliga störningar i verksamheten".
Resiliens- och sårbarhetstester förväntas utföras av oberoende experter och inbegripa regelbundna hotledda penetrationstester. Det är viktigt att alla kritiska IKT-system testas årligen.
Skyddsåtgärder (se även artikel 8)
Exempel på skyddsåtgärder som krävs är följande:
- Använd lämpliga och omfattande policyer för patchar och uppdateringar.
- Implementera policyer och protokoll för starka autentiseringsmekanismer.
- Följ ett riskbaserat tillvägagångssätt för att skapa en sund förvaltning av nätverk och infrastruktur.
- Genomföra strategier som begränsar den fysiska och virtuella tillgången till IKT-systemresurser och data.
- Förhindra informationsläckage
IKT-hantering av olyckor
Artikel 15 innehåller detaljerade krav på hantering och kontroll av säkerhetsincidenter, inklusive förfaranden för att "upptäcka, hantera och anmäla IKT-relaterade incidenter och införa indikatorer för tidig varning som varningar".
Rapportering av cybersäkerhetsincidenter
De berörda enheterna måste tillhandahålla ett sätt att övervaka, beskriva och rapportera alla betydande IKT-baserade incidenter till relevanta myndigheter. Rapporteringsreglerna är strängare för leverantörer av kritisk IKT. De omfattar en första anmälan senast vid slutet av arbetsdagen eller, om den betydande händelsen inträffade senare än två timmar före arbetsdagens slut, senast fyra timmar från början av nästa arbetsdag.
Därefter krävs en mellanrapport senast en vecka efter det första meddelandet, följt av en slutrapport när orsaksanalysen har slutförts senast en månad efter det att den första rapporten skickats.
Ansvar för förvaltning och säkerhet
DORA innebär att ansvaret för IKT-risker och cyberhot läggs på ledningsgruppen för finansiella tjänster. Genom att erbjuda utbildning i säkerhetsmedvetenhet kan man se till att C-nivån och hela företaget är säkerhetsfokuserat.
DORA omfattar också viktiga aspekter av förvaltning och respons på cybersäkerhet, t.ex. informationsutbyte (se artikel 40).
Vad händer härnäst med DORA?
Förordningen har en genomförandeperiod på 24 månader för finansiella enheter och deras kritiska tredjepartstjänsteleverantörer från och med att lagstiftningen tas i bruk. Därför rekommenderas de berörda enheterna att använda de 24 månaderna mellan det datum då lagstiftningen träder i kraft och genomförandet av åtgärder som uppfyller kraven för att göra en analys av bristerna: åtgärder som hotstyrd penetrationstestning och stränga rapporteringsregler skulle annars kunna falla igenom denna lucka.