Nye krav til finanssektoren for å redusere cybertrusler – DORA forordningen
Ny EU-lovgivning for å styrke finanssektorens digitale operasjonelle motstandsdyktighet (Digital Operational Resilience Act, DORA) vil gjelde fra 16. januar 2025. Finansforetak har dermed i underkant av to år på å innrette seg etter det nye regelverket. Regelverket er vedtatt som en forordning, og skal øke finanssektoren i Europa sin motstandsdyktighet knyttet til cybertrusler. Regelverket er forventet å gjennomføres i norsk rett.
Bakgrunnen for forordningen
Bakgrunnen for forordningen er at den økte digitaliseringen i samfunnet har medført en økende risiko knyttet til cybertrusler og IKT-forstyrrelser for nøkkelsektorer, inkludert for finanssektoren. Bruken av IKT har de siste tiårene fått en sentral rolle innen finans, inkludert ved driften av typiske daglige funksjoner slik som betalinger, kredittvurdering, skadebehandling, verdipapiravvikling mv. Videre er det et høyt nivå av sammenkobling på tvers av finansielle enheter, finansmarkeder og finansmarkedsinfrastrukturer. Alvorlige IKT-brudd i finanssektoren kan utløse negative konsekvenser for stabiliteten i Europas finansielle system.
DORA- forordningen er en del av EU-kommisjonens tiltakspakke for digitale finanstjenester.
Hvem er omfattet av regelverket?
DORA retter seg mot en rekke finansforetak («financial entities»), samt kritiske IKT – underleverandører.
Kravene til foretakene varierer ut ifra foretakets størrelse og funksjon. Foretak som kategoriseres som mikrovirksomheter stilles det blant annet færre krav til. Dette er definert som finansforetak (med unntak for handelsplasser, sentrale motparter, transaksjonsregister og verdipapirregister) med færre enn ti ansatte og som har en årlig omsetning og/eller årlig balanse som ikke overstiger to millioner euro.
Nedenfor følger en liste over finansforetak som omfattes av forordningen:
- kredittforetak
- betalingsforetak
- tjenesteleverandør av kontoinformasjon (AISP)
- e-pengeforetak
- verdipapirforetak
- leverandører av kryptotjenester
- verdipapirregister
- sentrale motparter (CCPs)
- handelsplasser (regulert marked e.l.)
- transaksjonsregister
- forvaltere av alternative investeringsfond og forvaltningsselskaper
- leverandører av datarapporteringstjenester
- forsikrings- og gjenforsikringsforetak
- forsikringsformidlere, gjenforsikringsformidlere og tilknyttede forsikringsformidlere
- foretak for tjenestepensjonspensjoner
- kredittvurderingsbyråer
- administratorer av kritiske referanser
- sikringsdepoter, og
- tjenesteleverandører for folkefinansiering (crowdfunding).
Hvilke krav stilles til foretakene?
I det følgende beskrives kort de viktigste kravene som DORA-forordningen stiller til finansforetak.
Krav til risikostyring
For det første stiller regelverket krav til finansforetaks risikostyring av informasjons- og kommunikasjonsteknologi (IKT). Kravene til risikostyring følger av forordningens kapittel II. Finansforetak må utarbeide et rammeverk for IKT-risikostyring. Som del av rammeverket, skal finansforetak blant annet identifisere, klassifisere og dokumentere alle IKT-støttede forretningsfunksjoner og roller, og kontinuerlig identifisere alle kilder til IKT-risiko. Klassifiseringen og risikovurderingen skal gjennomgås minimum årlig.
Finansforetak må også blant annet utarbeide retningslinjer og prosedyrer for sikkerhetskopiering. Det stilles også krav til å ha på plass krisekommunikasjonsplaner som muliggjør en ansvarlig avsløring av større IKT-relaterte hendelser eller sårbarheter overfor kunder, motparter og offentligheten.
Kravet til risikostyring følger proporsjonalitetsprinsippet. Det innebærer at finansforetakenes risikostyring skal samsvare med foretakets størrelse, samlede risikoprofil, og arten og omfanget og kompleksiteten til deres tjenester, aktiviteter og operasjoner.
Krav til hendelseshåndtering
For det andre inneholder DORA-forordningen krav til at finansforetak skal etablere og implementere en IKT-relatert hendelseshåndteringsprosess for å oppdage, administrerte og varsle IKT-relaterte hendelser (forordningen kapittel III). Dette innebærer at finansforetak blant annet må registrere alle IKT-relaterte hendelser og betydelige cybertrusler. Videre må foretakene etablere prosedyrer og prosesser for å sikre en konsistent og integrert overvåking, håndtering og oppfølging av IKT-relaterte hendelser, for å sikre at underliggende årsaker identifiseres, dokumenteres og adresseres for å forhindre at slike hendelser oppstår.
Finansforetakene plikter å klassifisere alle IKT-hendelser og fastsette deres innvirkning basert på en rekke kriterier, blant annet varigheten av hendelsen og den geografiske spredningen med hensyn til områder som hendelsen berører. Videre skal finansforetakene rapportere større IKT-relaterte hendelser til kompetente myndigheter. Kunder skal også informeres om slike større IKT-hendelser, uten ugrunnet opphold, dersom hendelsen har innvirkning på kundenes økonomiske interesser.
Krav til testing
For det tredje inneholder DORA regler om testing av digital operasjonell motstandskraft (kapittel IV). Finansforetak, med unntak av mikrovirksomheter, plikter å etablere et forsvarlig og omfattende test-program som en del av rammeverket for IKT-risikostyring. Test-programmet skal omfatte en rekke vurderinger, tester, metoder, praksiser og verktøy.
Test-programmet skal følge en risikobasert tilnærming, ved å blant annet ta hensyn til virksomhetens spesifikke risikoer. Testene skal gjennomføres av uavhengige parter, enten interne eller eksterne. Videre skal finansforetakene etablere prosedyrer og retningslinjer for å prioritere, klassifisere og avhjelpe alle problemer som blir avslørt under gjennomføringen av testene. Testene skal utføres minimum årlig på alle IKT-systemer og applikasjoner som støtter kritiske eller viktige funksjoner.
Håndtering av risiko knyttet til IKT-leverandører
For det fjerde stilles det krav til at finansforetakene iverksetter tiltak for forsvarlig håndtering av risiko knyttet til IKT-tjeneste leverandører (kapittel V). Risiko knyttet til IKT-leverandører skal vurderes som en del av finansforetakets risikovurdering. Videre skal finansforetak vedta og regelmessig gjennomgå en strategi for IKT-leverandørenes risiko. Strategien skal inneholde en policy for bruk av IKT-tjenester som støtter kritiske eller viktige funksjoner levert av IKT-leverandører.
Hva er konsekvensen av regelbrudd?
Forordningen gir kompetente myndigheter adgang til å kreve midlertidig eller permanent opphør av enhver praksis i strid med regelverket. Videre gis kompetente myndigheter adgang til å vedta en hvilken som helst type tiltak, inkludert av økonomisk art. Det er ikke fastsatt noen retningslinjer når det gjelder størrelsen på eventuelle overtredelsesgebyr.