DORA
DORA
Introduktion till Digital Operational Resilience Act (DORA)
2023-10-20
Introduktion till Digital Operational Resilience Act (DORA)
Agenda
1. Introduktion DORA
2. Vad Omfattar DORA?
3. Risker som adresseras
Ställ gärna frågor under passet!
2
2023-10-20 Digital Operational Resilience Act (DORA)
XXX, NÄR & HUR?
Vad ?
• EU förordning – adresserar ökade risker inom information- och cybersäkerhet samt outsourcing för bolag inom den finansiella sektorn
När ?
• Började gälla 16 jan 2023. Kraven verkställbara från och med
17 jan 2025.
Omfattas DU?
• JA, sannolikt! En stor mängd bolag omfattas.
Vi har redan infört EIOPA/EBA:s IKT regelverk, betyder det att vi efterlever DORA?
• NJA!
3
2023-10-20 Digital Operational Resilience Act (DORA)
Övergripande om IKT-risker
Inledning
Ökad digitalisering och sammankoppling leder till IKT- risker, vilket leder till sårbarhet för cyberhot eller IKT- störningar
Den digitala motståndskraft har ännu inte fullt ut behandlats och integrerats i de operationella ramverken
Europeiska systemrisknämnden (ESRB*) – IKT-risker kan utgöra en systemisk sårbarhet
IKT-risker bedöms vara systemkritiska
Lokala allvarliga IKT- överträdelser kan leda till nationella och EU risker för stabiliteten i de finansiella systemen
4
2023-10-20 Digital Operational Resilience Act (DORA)
En del av EU:s Digital Finance Package
XXXX en del av någonting större
5
2023-10-20 Digital Operational Resilience Act (DORA)
Motivation till DORA
Ökat beroende av digitala lösningar
Ökad komplexitet i IT- infrastrukturen och integrationer
Koncentration av IT-infrastruktur till ett fåtal tredjepartsleverantörer
Ökade incidenter och ökade risker inom IKT
6
2023-10-20 Digital Operational Resilience Act (DORA)
XXXX bygger vidare på tidigare reglering, så som FFFS 2014:5 och EBA/EIOPA IKT
Jämförelse med nuvarande reglering – vad är nytt?
Nuvarande reglering (EBA/EIOPA IKT och säkerhetsriskhantering & Outsourcing)
Etablera IKT och säkerhetsriskhantering
Nationell reglering (exv. FFFS ZAIT, BAIT)
DORA
EBA/EIOPA ICT-
Guidelines
EBA
Outsourcing
& EIOPA
Cloud outsourcing guideline
FOKUS:
• Styrning av IKT
• Riskhantering
• IT
DORA
Förutsätter IKT riskhantering på en grundläggande nivå FOKUS:
• Testning av IKT (utökade krav),
• IKT baserad incidentrapportering,
• Utkontraktering till IKT-tredjeparter.
7
2023-10-20 Digital Operational Resilience Act (DORA)
Konsekvenser?
8
DORA
FI mandat förändras (i Sverige)
Minska koncentration och risker för onödiga beroende inom IKT
Informationsutbyte mellan finansiella aktörer (hot och incidenter)
Fastställer och stärker rollen för EUs finansiella övervakningsmyndighe ter (ESA)
2023-10-20 Digital Operational Resilience Act (DORA)
ADB
IKT – vad betyder det?
Automatisk behandling av data med hjälp av specialiserade datorer och mjukvara. Rationaliserade det manuella arbete med komplexa beräkningar.
Specialist funktioner.
Informations Teknologi
Samarbete mellan mer generella datorer (nätverksuppkopplade administrativa datorer).
Hårdvara och mjukvara styrs och hanteras inom bolaget och hanterade mycket av det traditionella kontorsarbetet.
Intåget av standardiserat globalt nätverk (Internet).
IT och Kommunikationsteknologi
Utökar IT genom att inkludera tele- kommunikation, UC och nätverk. Begreppet brukar omfatta datorer, mobiler, serverar, infrastruktur och externa leverantörer exv. virtualisering via molntjänsteleverantörer och nya arbetsmetoder så som Agila modeller.
Till stor del styrs och hanteras IT-resurserna hos en/flera tredjepartsleverantörer över internet.
9
2023-10-20 Digital Operational Resilience Act (DORA)
IT-säkerhet
Begreppet informationssäkerhet
Informationssäkerhet
Cybersäkerhet
10
2023-10-20 Digital Operational Resilience Act (DORA)
Syftet med DORA
Digital Operativ Motståndskraft
11
2023-10-20 Digital Operational Resilience Act (DORA)
Affärsfördelar?
Ökat skydd inom IKT
Kund & konsumentskydd
Ökat IKT-skydd för enskilda institut, partners, marknaden, kunder och även för IKT-tredjepartsleverantörer
Tillit & rykte
Bättre kund- och konsumentskydd kan uppnås
Styrning och processkontroll
Transparent kommunikation vid cybersäkerhetsrisker, incidenter eller vid kriser ökar tillit och rykte.
Bryta silos
Ökad styrning och kontroll över institutens interna processer och IKT-stöd
Kontroll över tredjepartsleverantörer
Ger långtgående fördelar för institut i form av skydd och beslutsstöd
Bättre information
Bättre insyn, styrning, uppföljning och mätning av risker från tredje part
Öppet informationsutbyte kommer att skapa större medvetenhet om hot och risker
12
2023-10-20 Digital Operational Resilience Act (DORA)
Vem omfattas?
Kreditinstitut
Betalningsinstitut
Transaktionsregister Förvaltare av alternativa
investeringsfonder
Lagstadgade revisorer
!
och revisionsföretag
Administratörer av
kritiska referensvärden
Institut för elektroniska pengar
Värdepappersföretag
Leverantörer av kryptotillgångstjänster, m.fl.
Värdepapperscentraler
Förvaltningsbolag
Leverantörer av datarapporterings-
tjänster
Försäkrings- och återförsäkringsföretag
Försäkringsförmedlare, m.fl.
Leverantörer av gräsrotsfinansieringstjänster
Värdepapperiseringsregister
Tredjepartsleverantörer av IKT-tjänster
Förordningen omfattas av proportionalitets- principen, där hänsyn tas till den finansiella enhetens affärsbehov, riskprofil, storlek och komplexitet
Centrala motparter Tjänstepensionsinstitut
Handelsplatser Kreditvärderingsinstitut
13
2023-10-20 Digital Operational Resilience Act (DORA)
6 övergripande regleringsområden
01 02 03 04 05 06
Styrning och organisation
IKT-
riskhantering
IKT-relaterad incident- hantering
Testning av digitala operativa motstånds- kraften
Hantering av IKT tredjeparts- risker
Informations- utbyte
Regleringen omfattar till största del risk, informationssäkerhet och outsourcing
14 2023-10-20 . 14 .
2023-10-20 Digital Operational Resilience Act (DORA)
Styrning och organisation
Intern styrning och kontroll
• Finansiella enheter måste ha interna styrnings- och kontrollramar för effektiv hantering av IKT-risker.
Styrelsens ansvar
• Styrelsen har det slutliga ansvaret och en aktiv roll i styrningen av IKT-riskhanteringsramverket.
Mål och anpassning
• Målet är att säkerställa att affärsstrategin är i linje med riskramverket för ICT.
Implementering av riskramverk
• Styrelsen ansvarar för införandet av ett IKT-baserat riskramverk och måste definiera roller, fastställa risktolerans, säkerställa resurser och övervaka kontinuitetsförmåga.
Övervakning och utbildning
• Styrelsen övervakar IKT-kontinuitet, incidenthantering, tredjepartsarrangemang och säkerställer utbildning för
aktuella IKT-kunskaper.
15
2023-10-20 Digital Operational Resilience Act (DORA)
IKT– riskhantering
XXXX och IKT-riskhantering
• DORA ställer krav på ett robust IKT-riskramverk för att säkerställa snabb, effektiv, och heltäckande hantering av IKT-risker, samt hög digital operativ motståndskraft.
Resilienta IKT-system och verktyg
• Målet inkluderar resilienta IKT-system och verktyg, kontinuerlig identifiering av källor till IKT-risker, och anpassade proaktiva- och reaktiva skydd för IKT-miljön.
Kommunikation och standarder
• DORA följer europeiska och internationella standarder inom finansbranschen, inkluderar principer för identifiering, skydda & förebygga, upptäcka, åtgärda & återställa. Kommunikationsplaner inkluderar att informera kunder och allmänheten om IKT-relaterade incidenter.
16
2023-10-20 Digital Operational Resilience Act (DORA)
IKT– riskhantering
01
02
04
03
01. Identifiera
Artikel 8:
• Kartlägga och klassificera verksamheten
• Identifiera alla IKT-risker
• Löpande identifiera cyberhot och sårbarheter
• Behörighetshantering.
04. Åtgärda & återställa
Artikel 11:
• IKT-kontinuitetsplan
• Kostnader och förluster för IKT-avbrott och IKT- incidenter ska rapporteras till FI
• Säkerhetskopiering och återställning
02. Skydda & förebygga
Artikel 9:
• Utarbeta riktlinjer för informationssäkerhet
• Övervaka och kontrollera IKT-miljön och upprätta en säkerhetsstrategi
• Säkerställa motståndskraft, genom att använda de senaste IKT-tekniken och processerna
• Upprätthålla höga standarder för säkerhet, konfidentialitet och integritet hos data
03. Upptäcka
Artikel 10:
• Snabbt upptäcka onormal verksamhet
• Regelbunden testning av upptäcksförmågan
• Upptäcksförmågan ska bestå av varningströsklar.
17 2023-10-20 .
2023-10-20 Digital Operational Resilience Act (DORA)
IKT - incidenthantering
1. Institutioner ska etablera och förvalta en styrningsprocess för övervakning och loggning av IKT-
incidenter.
• Denna IKT incidenthanteringsprocess ska klassificera incidenter (enligt kommande Teknisk Standard)
• Signifikanta incidenter, enligt klassificering, ska rapporteras till Finansinspektionen
2. Finansinspektionen ska stötta institutioner vid incidentrapportering genom nödvändig återkoppling eller vägledning
18
2023-10-20 Digital Operational Resilience Act (DORA)
IKT-relaterad incidentrapportering
1. Process för hantering av IKT-
relaterade incidenter
Artikel 17
2. Klassificering av IKT- relaterade incidenter
Artikel 18
3. Rapportering av större IKT-
relaterade incidenter
Artikel 19
4. Harmonisering av rapporeringsinnehåll och mallar
Artikel 20
5. Centralisering av rapportering av större IKT-relaterade incidenter
Artikel 21
6. Återkoppling från
tillsynsmyndigheterna
Artikel 22
All nödvändig vägledning och återkoppling
19
2023-10-20 Digital Operational Resilience Act (DORA)
Digital operativ motståndskraft – testning
1. Testningens målsättning är att säkerställa institutionernas riskhanteringsramverk ur ett förberedelse och eventuella brist perspektiv. Detta för att löpande uppdatera riskramverket för att säkerställa tillämpligheten
• Alla institutioner ska testa sina IKT system och verktyg, mist årligen
• Tillkommande krav på testning finns för de institutioner som av Finansinspektionen utpekas som väsentliga/kritiska
2. Institutioner bör utarbeta ett testningsramverk för att hantera testningen av IKT-system vid nyanskaffningar eller vid förändringar.
20
2023-10-20 Digital Operational Resilience Act (DORA)
Testning av digital operativ motståndskraft
Krav för testare
Artikel 27
Avancerad testning av IKT- verktyg och IKT-processer baserat på hotstyrd penetrationstestning
Artikel 26
Allmänna krav för testning av digital operativ motståndskraft
01
04
Testning
02
03
Artikel 24
Testning av IKT-verktyg och
IKT-system
Artikel 25
21
2023-10-20 Digital Operational Resilience Act (DORA)
Utkontraktering av IKT-tjänster
Tredjepartsriskhantering:
• DORA integrerar tredjepartsrisker i IKT-riskramverket för sund övervakning, inklusive molntjänster.
Outsourcingstrategi och efterlevnad:
• Finansiella bolag måste utveckla outsourcingstrategi och policy, och säkerställa att leverantörer följer lagar och regler.
Krav och övervakning:
• DORA fastställer minimikrav för övervakning av tredjepartsrisker, inklusive outsourcingregister och höga standarder för informationssäkerhet. Övervakning av kritiska IKT-leverantörer ingår i ett EU-ramverk, med potentiella konsekvenser för bolag och möjlighet till exit-klausuler.
22
2023-10-20 Digital Operational Resilience Act (DORA)
Hantering av IKT-tredjepartsrisker
Utkontraktering
Krav innan utläggning
av verksamhet
Omfattar huvudprinciper för sund hantering av IKT-tredjepartsrisker innan
utläggning.
Granskning och tillsyn av utlagd verksamhet
Tillsysnsramverk för kritiska tredjepartsleverantörer av IKT-tjänster.
23
Hantering av tredjepartsleverantörer – Xxxxx outsourcing
Digital Operational Resilience Act (DORA)
Utkontraktering i IKT-riskhantering
Innan utläggning, integreras utkontraktering i IKT-riskhanteringsramverket med årligt register rapporterat till FI.
Preliminär utvärdering av leverantör
Före avtal krävs utvärdering av leverantören med fokus på säkerhetsstandarder, tjänster, strategi och koncentrationsrisker.
Riskbaserad inspektion och revision
Inkluderar kontraktsmässiga krav, riskbaserad inspektion, insynskrav och klara avslutskriterier och exitplan.
24
Hantering av tredjepartsleverantörer – Under outsourcing
Informationssäkerhetskrav och strategi
Krav för informationssäkerhet och "multi-vendor strategi" för outsourcing, inklusive en policy, ingår i kontrakten.
Kritiska tredjepartsleverantörer
ESA identifierar kritiska leverantörer inom den finansiella sektorn under utkontraktering.
Lead Overseer och sanktioner
ESA utser en Lead Overseer.
ESA kan besluta om vite (1% av leverantörens globala
omsättning per dag, upp till 6 månader).
25
• Kan begära in all nödvändig information, dokumentation och rapporter
• Genomföra generella utredningar och kontroller
• Stoppa användandet av kedjad outsourcing
• Genomföra platsbesök och besöka vilka lokaler eller faciliteter de önskar (även globalt)
• Försegla lokaler, bokföringsmaterial eller affärsdokumentation under inspektioner
• Revidera alla relevanta IT-system, nätverk, tillgångar, information eller data
• ESA kan tillfälligt begära finansiella enheter att helt eller delvis avbryter eller avslutar användningen av en viss IKT-tredjepart tills riskerna åtgärdats
2023-10-20 Digital Operational Resilience Act (DORA)
Arrangemang för informationsutbyte
Arrangemang för utbyte av information och underrättelse om cyberhot
Cyberhot och information
• Finansiella enheter kan dela hotinformation för att stärka sin digitala
motståndskraft och öka medvetenheten om cyberhot.
Säkra arrangemang
• Informationsutbytet sker inom en pålitlig grupp och skyddas för affärshemligheter och personuppgifter enligt konkurrenspolitiska riktlinjer.
Tydliga deltagarvillkor
• Arrangemangen måste inkludera klara villkor för deltagande, inklusive eventuellt myndighetsengagemang.
Meddelande till myndigheter
• Finansiella enheter informerar myndigheter om sitt deltagande i informationsutbytearrangemang.
26
2023-10-20 Digital Operational Resilience Act (DORA)
EU myndigheter och FI lyfter IT och informationssäkerhetshot som en av sektorns största risker
Riskbild enligt EU
Cybersäkerhet
Komplexitet
Ökat antal incidenter inom
ICT
Digitalisering driver risk
Då IT är integrerat i många interna processer är IT-risker signifikant hot och kan äventyra ett
instituts överlevnad
27
Har ni frågor eller funderingar så är ni välkomna att höra av er!
Xxxxxxx Xxxxxxx Advisory Sweden Operational Risk
Partner
Xxxxxxx.Ohlsson@ Xxxxxxxxx.xxx
x00 00 000 00 00
Xxxxx Xxxxx
Legal & Compliance
Senior Associate
2023-10-20 28
x00 00 000 00 00
Advisense
2023-10-20