Formålet med DORA
I betragtning af den høje grad af digitalisering og indbyrdes forbundethed i den finansielle sektor, som udgør en risiko for både de enkelte finansielle enheder og den finansielle stabilitet, blev Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 , almindeligvis kaldet forordningen om digital operationel modstandsdygtighed (DORA), indført med det formål at styrke den finansielle sektors digitale operationelle modstandsdygtighed. Som en del af EU's pakke om digital finans har DORA til formål at etablere en fælles retlig ramme, der strømliner og harmoniserer EU's fragmenterede retlige landskab med hensyn til informations- og kommunikationsteknologi (IKT)-risici.
DORA's fem hovedsøjler
Målet om at styrke den digitale operationelle modstandsdygtighed nås med de fem hovedsøjler i DORA.
IKT-risikostyring
Risikostyringsafsnittet i DORA indeholder de vigtigste principper og krav vedrørende de finansielle enheders risikostyringsramme. På den ene side er ledelsesmæssige og organisatoriske krav til DORA-risikostyringsrammen dækket i kapitel II, afdeling I, i DORA. På den anden side indeholder afdeling II forpligtelser med hensyn til rammen for IKT-risikostyring som en del af det overordnede risikostyringssystem.
IKT-relateret hændelsesstyring, klassificering og rapportering
Med kravene til IKT-relateret hændelsesstyring, -klassificering og -rapportering, der er beskrevet i kapitel III, har DORA til formål at harmonisere og strømline indberetninger af IKT-relaterede hændelser på tværs af den finansielle sektor, samt udvide de berørte finansielle enheders anvendelsesområde. Udover indberetning af større IKT-relaterede hændelser indeholder DORA også mulighed for frivillig underretning af væsentlige cybertrusler.
Desuden indeholder kapitel III i DORA også krav til finansielle enheders procedurer for håndtering af hændelser.
Test af digital operationel modstandsdygtighed
I kapitel IV i DORA fastsættes kravet om oprettelse af et program for afprøvning af digital operationel modstandsdygtighed for at vurdere beredskabet til at håndtere IKT-relaterede hændelser og identificere svagheder, mangler og mangler i den digitale operationelle modstandsdygtighed. Udover de grundlæggende testkrav kræver DORA desuden avancerede test baseret på trusselsbaserede penetrationstest (TLPT) for udvalgte finansielle enheder, der er omfattet af TLPT-ordningen.
Styring af IKT-tredjepartsrisici
I kapitel V, første afsnit, fastsætter DORA principbaserede regler for styring af tredjepartsrisici inden for rammerne af IKT-risikostyring samt centrale kontraktbestemmelser, der skal tages i betragtning i forbindelse med tredjepartsudbydere af IKT-tjenester. Desuden indføres der i kapitel V, afdeling II, en EU-dækkende ramme for tilsyn med kritiske tredjepartsudbydere af IKT-tjenester.
Ordninger for informationsudveksling
I kapitel VI har DORA desuden til formål at styrke finansielle enheders digitale operationelle modstandsdygtighed ved at give mulighed for frivillig udveksling af oplysninger og efterretninger om cybertrusler mellem finansielle enheder.
Virksomheder omfattet af DORA
Af DORA-forordningens artikel 2 fremgår det, at følgende virksomheder er omfattet:
Kreditinstitutter, betalingsinstitutter, e-pengeinstitutter og investeringsselskaber
Forsikrings- og genforsikringsvirksomheder, større forsikringsformidlere og arbejdsmarkedspensionsselskaber
Værdipapircentraler, regulerede markeder, transaktionsregistre, forvaltere af alternative investeringsfonde, investeringsforvaltningsselskaber, centrale modparter og udbydere af dataindberetningstjenester
Virksomheder indenfor kryptoaktiver, som er omfattet af MiCA-forordningen
Administratorer af kritiske benchmarks, crowdfundingtjenesteudbydere, securitiseringsregistre og kreditvurderingsbureauer
IT-leverandører som er systemiske på EU-niveau.
Gennemførelse i Danmark
Som en EU-forordning finder DORA direkte anvendelse på finansielle enheder, der er omfattet af DORA's anvendelsesområde, fra den 17. januar 2025. Det tilsvarende direktiv (EU) 2022/2556 af 14. december 2022, som har til formål at medtage en krydshenvisning til DORA i alle direktiver om den finansielle sektor, blev gennemført den 1. juli 2024.
Supplerende regler
DORA indeholder en række mandater til udstedelsen af en række nye detaljerede regler og vejledninger, som præciserer reglerne i forordningen. De fleste af disse regler fastsættes i form af delegerede forordninger med direkte virkning (også kaldet reguleringsmæssige tekniske standarder ell. RTS’er) og implementeringsmæssige tekniske standarder (ITS’er).
Klik her for yderligere information om supplerende regler.