DORA - nya regler för hantering av cyberhot och incidenter.
EU vill stärka de finansiella företagens motståndskraft mot cyberhot och allvarliga driftsstörningar. I maj gjordes en preliminär överenskommelse mellan ministerrådet och EU-parlamentet om DORA, regelverket för digital operativ motståndskraft. Reglerna gäller inte bara banker, utan alla typer av reglerade finansiella, såsom försäkringsbolag och värdepappersföretag.
- Det är omfattande regler som kommer att påverka en banks hela säkerhetsarbete, både det förebyggande arbetet och vilka förberedelser man behöver göra för att hantera cyberattacker och incidenter. Det sätter också regler för hur man ska hantera outsourcingrisker när man lägger ut IT-verksamheten, berättar Magnus Jacobson, senior rådgivare inom cybersäkerhetsområdet på Bankföreningen.
Vilka är de största förändringarna jämfört med nu?
- Man kommer att känna igen sig om man jobbar med det här. Det finns ju redan regler på området i form av föreskrifter från Finansinspektionen och guidelines från Europeiska bankmyndigheten, EBA, och DORA-regelverket innehåller inget som är helt nytt. En skillnad är att det här är en direktverkande reglering vilket gör att det harmoniseras mellan länder. Det är positivt om man är en större bank med verksamhet i flera länder.
Förslaget till regelverket kom hösten 2020. Bankföreningen har arbetat med det länge och verkat för att DORA ska vara riskbaserat och proportionerligt.
- Vi vill att det ska reglera vad det är man ska åstadkomma med sin riskhantering, inte nödvändigtvis hur, det kan bankerna bäst själva, säger Magnus Jacobson.
Än är det en bit kvar innan reglerna är klara. Först ska EU-parlamentet rösta efter sommaren, och sedan dröjer det 24 månader efter att den slutgiltiga överenskommelsen offentliggjorts innan DORAträder ikraft.
DORA, Digital Operational Resilience Actingår i ett större paket som ska stötta digitaliseringen av finanssektorn i EU, vad gäller innovation och hantering av riskerna som följer av digitalisering. |
Publicerad den 13 juni 2022