DORA (Digital Operational Resilience Act)

DORA (Digital Operational Resilience Act) är det nya regelverk inom EU som syftar till att stärka den finansiella sektors motståndskraft mot just digitala risker och cyberhot. I dagens digitala landskap spelar informations- och kommunikationsteknik (IKT) en avgörande roll i våra liv och i ekonomiska sektorer som finans. Ökad digitalisering gör samhället, särskilt det finansiella systemet, mer sårbart för cyberhot.

DORA

Vad är DORA?

DORA (Digital Operational Resilience Act) är det nya regelverk inom EU som syftar till att stärka den finansiella sektors motståndskraft mot just digitala risker och cyberhot. Detta regelverk tillämpas sedan 16 januari 2023 och omfattar en mängd finansiella aktörer, såsom banker, försäkringsbolag och andra finansiella tjänsteleverantörer med s.k. kritiska informations- och kommunikationstekniktjänster (IKT-tjänster). DORA ska vara helt implementerad 2025.

DORA inkluderar åtgärder för kryptotillgångsmarknader, distribuerad databasteknik och ändringar i finansiella tjänsteregler. Fokus ligger på att hantera IKT-relaterade risker och stärka operativ motståndskraft. Tidigare åtgärder efter finanskrisen 2008 stärkte visserligen finansiell motståndskraft men ignorerade IKT-risker. DORA syftar till att säkerställa enhetlig ram för digital motståndskraft, inklusive testning av IKT-system och ökad medvetenhet hos tillsynsmyndigheter.

Samhället som helhet kommer gynnas av det ökade förtroendet för finanssektorn, som DORA sannolikt kommer innebära.

Hur kan Lemontree hjälpa er med DORA?

Lemontree är en pålitlig partner som erbjuder en omfattande konsultexpertis inom en rad områden. Vi har gedigen regelverkskompetens och erfarna verksamhetskonsulter, förändringsledare, testledare och teknisk testning och kvalitet sedan 20 år tillbaka. Vi har erfarenhet av motsvarande regelverksutrullningar som till exempel GDPR och hjälper er gärna att komma i gång med implementeringen av DORA.  Det nya regelverket stipulerar ett antal krav som ställs på bland annat testare. Vi uppfyller dessa krav och kan på ett tillfyllest sätt se till att ni får en lyckad implementering av DORA.

  • Expertis: Lemontree har certifierade DORA-experter som kan hjälpa kunderna att förstå och implementera förordningen.
  • Helhetslösningar: Lemontree erbjuder ett komplett utbud av tjänster, från riskbedömningar och gap-analyser till implementeringsstöd, testning och utbildning.
  • Anpassade lösningar: Lemontree skräddarsyr sina tjänster efter varje kunds specifika behov och förutsättningar.
  • Erfarenhet: Lemontree har lång erfarenhet av liknande regelverk (som GDPR) och en djup förståelse för finanssektorns utmaningar.

DORAs tillämpningsområde

DORA har ett omfattande tillämpningsområde och reglerar olika aspekter av digital säkerhet och motståndskraft. Det reglerar bland annat:

IKT-riskhanteringsförmåga

Förordningen innebär att strängare krav införs avseende IKT-riskhanteringsförmåga. Det finns dock undantag där mikroföretag eller andra finansiella entiteter beroende av storlek och riskprofil kan få en förenklad IKT-riskhanteringsram.

Incidentrapportering

För att finansiella entiteter ska kunna upprätthålla full kontroll över IKT-risk måste de, förutom att ha övergripande kapacitet som möjliggör en kraftfull och effektiv IKT-riskhantering, ha särskilda mekanismer och riktlinjer för att hantera alla IKT-relaterade incidenter och rapportera allvarliga IKT-relaterade incidenter.

Testning
DORA innehåller bestämmelser om utförande av lämpliga tester, såsom sårbarhetsanalyser och skanningar, analyser av öppen källkod, nätverkssäkerhetsbedömningar, gapanalyser, fysiska säkerhetsgranskningar, frågeformulär och programvarulösningar för skanning, källkodsgranskningar när så är möjligt, scenariobaserade tester, kompatibilitetstester, prestandatester, tester ändpunkt till ändpunkt (end-to-end) och penetrationstester.

Hantering av IKT-tredjepartsrisker

DORA är tillämplig på alla kritiska tredjepartsleverantörer av IKT-tjänster, inbegripet leverantörer av molntjänster som tillhandahåller IKT-tjänster till finansiella entiteter. Eftersom tredjepartsleverantörer av IKT-tjänster ofta tillhandahåller standardiserade tjänster till olika typer av kunder kan det dessutom hända att sådana kontraktsmässiga arrangemang inte alltid tillgodoser finansbranschaktörernas individuella eller särskilda behov.

Det är därför nödvändigt att fastställa vissa nyckelprinciper för att vägleda finansiella entiteters hantering av IKT-tredjepartsrisker, vilka är särskilt viktiga när finansiella entiteter använder tredjepartsleverantörer av IKT-tjänster för att stödja kritiska eller viktiga funktioner. Dessa principer bör åtföljas av en uppsättning grundläggande avtalsenliga rättigheter i samband med flera aspekter av fullgörandet och avslutandet av kontraktsmässiga arrangemang i syfte att tillhandahålla vissa minimiskyddsåtgärder för att stärka finansiella entiteters förmåga att effektivt övervaka alla IKT-risker som uppstår på tredjepartstjänsteleverantörsnivå.

Samarbete och informationsutbyte mellan aktörer

I och med att IKT-risker blir alltmer komplexa och sofistikerade kommer effektiva åtgärder för att upptäcka och förebygga IKT-risk att i hög grad vara beroende av regelbundet utbyte mellan finansiella entiteter av underrättelser om hot och sårbarhet. Informationsutbyte bidrar till att skapa ökad medvetenhet om cyberhot.

Under vissa omständigheter får finansiella entiteter sinsemellan utbyta information och underrättelser om cyberhot, inbegripet indikatorer på äventyrad säkerhet, taktiker, tekniker och förfaranden, cybersäkerhetsvarningar och konfigurationsverktyg.

Vilka berörs av DORA?

  • Kreditinstitut
  • Betalningsinstitut
  • Leverantörer av kontoinformationstjänster
  • Institut för elektroniska pengar
  • Värdepappersföretag
  • Leverantörer av kryptotillgångstjänster
  • Värdepapperscentraler
  • Centrala motparter
  • Handelsplatser
  • Transaktionsregister
  • Förvaltare av alternativa investeringsfonder
  • Förvaltningsbolag
  • Leverantörer av datarapporteringstjänster
  • Försäkrings- och återförsäkringsföretag
  • Försäkringsförmedlare, återförsäkringsförmedlare och försäkringsförmedlare som bedriver förmedling som sidoverksamhet
  • Tjänstepensionsinstitut
  • Kreditvärderingsinstitut
  • Administratörer av kritiska referensvärden
  • Leverantörer av gräsrotsfinansieringstjänster
  • Värdepapperiseringsregister
  • Tredjepartsleverantörer av IKT-tjänster
Konsultchef Test/QA

Ludwig Östlund

Ludwig har arbetat med testautomatisering i komplexa projekt sedan 2012. Idag är han chef över TestOps-teamet på Lemontree och driver därtill kompetensområdet för kvalitetssäkring och testautomatisering. Ludwig utbildar även frekvent i testmetodik och blev 2021 utsedd till topp tre årets kulturbärare av Great Place to Work i hela Sverige.

ludwig.ostlund@lemontree.se | +46 (0) 700 651 667 | LinkedIn

Vanliga frågor & svar om DORA (Digital Operational Resilience Act)

Här hittar du svar på de vanligaste frågorna vi får från våra kunder. Vi har samlat information och lösningar på olika ämnen och problem som kan uppstå. Oavsett om det gäller tekniska frågor, produktinformation eller allmänna funderingar, så finns vi här för att hjälpa dig.

Hittar du inte svar på din fråga?
Vad är IKT-tjänster enligt DORA?2023-12-20T13:43:19+01:00

Det är digitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster.

Hur definieras en kritisk eller viktig funktion enligt DORA?2023-12-20T13:42:01+01:00

Det är en funktion vars avbrott väsentligt skulle försämra den finansiella entitetens finansiella resultat eller sundheten eller kontinuiteten i dess tjänster och verksamhet, eller om funktionens upphörande, brister eller misslyckande väsentligt skulle försämra en finansiell entitets fortsatta efterlevnad av villkoren och skyldigheterna i auktorisationen eller av dess övriga skyldigheter enligt tillämplig rätt avseende finansiella tjänster.

Vad är hotbildsstyrd penetrationstestning enligt DORA?2023-12-20T10:20:18+01:00

Det definieras som en ram som efterliknar den taktik, teknik och de tillvägagångssätt som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (Red Team/rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten.

Kontakta oss för konsultation eller frågor rörande DORA

Har du frågor eller behöver hjälp med implementeringen av det nya finansiella regelverket från EU? Tveka inte att höra av dig till oss. Fyll i formuläret så återkommer vi till dig inom kort. Vi finns här för att hjälpa dig att ta nästa steg i din digitala utveckling.

Read our white papers & compendium

Would you like to delve deeper into test automation, DevOps, or mobile testing? Feel free to download our whitepapers and compendiums.