Branschnyhet

DORA – ett regelverk för finansiella aktörer att ha koll på

Med:
Louise Wennström,
Jonathan Sörman
insight featured image
I september 2020 presenterade Europeiska kommissionen förslaget ”The Digital Operational Resilience Act (DORA) ” – en förordning med syfte att stärka finansmarknadens operationella motståndskraft mot cyberrisker. Vad innebär denna förordning och vad bör finansiella aktörer tänka på i implementeringsarbetet?

DORA trädde i kraft i januari 2023 och har som primärt syfte att konsolidera nuvarande reglering och höja kraven inom IKT-riskhantering. Drivande faktorer till regelverket är bland annat det faktum att vi befinner oss i en tid av ökad digitalisering och sammankoppling, där finansiella aktörer blir alltmer beroende av informations- och kommunikationsteknik (IKT). Detta skapar möjligheter men medför också ökade risker. 

I princip alla finansiella aktörer som står under Finansinspektionens tillsyn behöver följa DORA, vilket innebär att regelverket har ett relativt extensivt tillämpningsområde. Finansiella aktörer som träffas av regelverket är banker och andra kreditgivare, betalinstitut, värdepappersbolag, fondförvaltare, försäkringbolag, tjänstepensionsinstitut med flera. Denna kategori av aktörer behöver nu börja fundera över hur de förhåller sig till DORA och vilka åtgärder de behöver vidta för att stå redo när regelverket ska börja tillämpas den 17 januari 2025.

Viktiga områden som DORA ställer krav inom

  • IKT-riskhantering
  • klassificering och rapportering av IKT-relaterade incidenter
  • testning av digital operativ motståndskraft
  • hantering av IKT-tredjepartsrisker
  • informationsutbyte mellan finansiella aktörer

 

Tre råd för en lyckad implementering av DORA

1. Arbeta holistiskt och involvera hela organisationen

Det är viktigt att förstå att DORA inte bara påverkar företagets IT-avdelning, utan hela organisationen. Det är därför viktigt att etablera en god förståelse för IKT-risker i företagsledningen och säkerställa att det finns en robust styrning gällande IKT-risker och hantering av dessa. Engagemang och involvering bidrar inte bara till en lyckad implementering av DORA, utan ökar också den allmänna säkerheten och motståndskraften inom organisationen.

2. Gör en gapanalys

Att tidigt genomföra en gapanalys kan bidra till att identifiera områden där företaget behöver förbättra sin operativa motståndskraft för att möta kraven i DORA-regleringen. En gapanalys kan också hjälpa er att identifiera potentiella risker som kan uppstå på grund av brister i företagets nuvarande processer och system.

3. Kom igång med implementeringen i tid

Även om DORA börjar tillämpas i januari 2025, ser vi många bolag som inte har den mognad som krävs inom IKT-riskhantering och har en bit kvar på vägen för att vara redo för DORA. Det kan ta tid att genomföra de åtgärder som krävs, särskilt om det finns brister i företagets befintliga processer och system.

Tjänster
Vi kan hjälpa er med: IT Assurance
Jag vill veta mer
Vi kan hjälpa er med: IT Assurance

Vi hjälper dig

Grant Thornton har bred kompentens inom IKT-riskhantering, både vad gäller regelverksfrågor och IT-teknisk kunskap. Exempel på tjänster vi erbjuder är workshops och gapanalyser i förhållande till DORA samt ytterligare råd och stöd för en lyckad implementering. 

Välkommen att kontakta våra experter för frågor eller råd om DORA.

Johan Sarasalo

Head of BRS Corporate

Läs mer och kontakta Johan Sarasalo

Christer Runestam

Branschansvarig för Financial Services

Läs mer och kontakta Christer Runestam