<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">

DORA-forordningen skjerper kravene til finansnæringens IKT-sikkerhet

‹ Tilbake til artikler

Økt risiko for cyberangrep har fått EU til å skjerpe kravene til IKT-sikkerhet for finansnæringens nettverks- og informasjonssystemer og deres underleverandører av IKT-systemer. EU-Kommisjonen forslag til forordning om digital operasjonell motstandskraft - DORA - er en del av EU-kommisjonens tiltakspakke for digitale finanstjenester som ble publisert 24. september 2020. 

Hvem blir omfattet av DORA?

DORA vil omfatte alle medlemslandene i EU og forventes gjennomført i Norge.
Reguleringen kan deles i to hoveddeler. 

For det første regulerer DORA “financial entities” (heretter “finansaktører”). Begrepet omfatter flere typer foretak enn finansforetak etter finansforetaksloven.

For det andre regulerer DORA finansaktørenes IKT-underleverandører. Kritiske IKT-underleverandører er direkte regulert av DORA. Andre underleverandører blir indirekte regulert ved at det stilles krav til finansaktørenes underleverandøravtaler med disse. 

Finansaktørene som omfattes av DORA er:

  • Kredittinstitusjoner, herunder banker og kredittforetak
  • Betalingsforetak
  • Opplysningsfullmektig
  • E-pengeforetak
  • Verdipapirforetak
  • Leverandører av kryptotjenester som omfattes av MiCA
  • Transaksjonsregister
  • Sentrale motparter
  • Omsetningssteder (dvs. regulert marked, multilateralt handelssystem (MTF) og formidlere)
  • Verdipapirsentraler
  • Forvaltere av alternative investeringsfond
  • Forvaltningsselskaper for verdifond
  • Leverandører av data rapporteringstjenester
  • Forsikrings- og gjenforsikringsforetak
  • Forsikringsformidlere, gjenforsikringsformidlere og tilknyttede forsikringsformidlere
  • Foretak for tjenestepensjonspensjoner
  • Kredittvurderingsbyråer
  • Administratorer for kritiske referanseverdier
  • Tjenesteleverandører for folkefinansiering
  • Sikringsdepoter

Hvilke krav stiller DORA til finansaktørene og kritiske underleverandører?

Kravene til finansaktørene og deres kritiske underleverandører grupperes i fem ulike kategorier: 

  1. Krav til rammeverk for styring av IKT-risiko.
  2. Krav til håndtering av IKT relaterte hendelser - styring, klassifisering og rapportering.
  3. Testing av digital operasjonell motstandsdyktighet.
  4. Håndtering av IKT-risiko knyttet til tredjeparter.
  5. Informasjonsdeling.

Hva betyr DORA for finansnæringen?

DORA innebærer endringer for underleverandører og aktører som i dag ikke omfattes av finansreguleringen, for eksempel kryptotjenesteleverandører som vil omfattes av MiCA. For disse kan det bli utfordrende å både oppfylle kravene til MiCA og DORA slik at de kan få konsesjon før overgangsperioden løper ut.

For finansaktører som allerede er regulert av Finanstilsynet stiller det seg annerledes. Eksisterende norsk regelverk, lovforslag og praksis dekker allerede enkelte av kravene i DORA.

Finanstilsynet stiller i dag krav til risikostyring blant annet gjennom:

  • Forskrift om risikostyring og internkontroll. 

  • Finansforetaksloven § 1-6 som stiller krav til forsvarlige styrings- og kontrollsystemer.

  • IKT-forskriften som stiller krav til sikkerhet og risikohåndtering. 

EU sitt NIS-direktiv innebærer at banker må oppgradere sine retningslinjer og verktøy for cybersikkerhet. Justis- og beredskapsdepartementet har laget et lovutkast som gjennomfører NIS-1-direktivet i norsk rett. 

Mange foretak oppfyller også ISO 9000 (standard for ledelsessystem innen kvalitet) og ISO 27000-serien (standard for ledelsessystemer innen informasjonssikkerhet).

Kravene i DORA krever stor tverrfaglig kompetanse innenfor blant annet teknologi, cybersecurity og juss. 

Under går vi igjennom noen av de viktigste kravene som følger av DORA - gjennomføring av Threat Led Penetration Testing, rapportering av IKT-relaterte hendelser, regulering av underleverandørforhold og oppfordrer til informasjonsdeling. 

Testing av robusthet og motstandsdyktighet

For å oppnå høy digital operativ motstandsdyktighet skal finansaktører regelmessig teste oppdagelses-, respons og gjenopprettingevner for å avdekke IKT sårbarheter. 

Testingen skal oppfylle kravene til Threat-Led Penetration Testing. I tråd med hensynet til proporsjonalitet vil testene som blir utviklet av ESAene, være mer krevende for større finansaktører (f.eks.kredittinstitusjoner etc.) enn mindre.

Rapportering av IKT-relaterte hendelser 

DORA pålegger videre å etablere system for å oppdage, administrere og varsle IKT-relaterte hendelser og gjennomføre denne. Alvorlige hendelser skal rapporteres til ledelsen og relevante myndigheter. Sammen med European Union Agency for Cybersecurity (ENISA) og den europeiske sentralbanken (ECB) skal ESAene etablere et register for rapportering av alvorlige hendelser.

Informasjonsdeling

Informasjonsdeling mellom finansaktører kan gi økt digital operasjonell motstandsdyktighet, øke bevisstheten om cybertrusler, begrense spredningen av cybertrusler og forbedre finansaktørerenes evne til å avdekke trusler og gjenopprette skade som skyldes sikkerhetsbrudd. I DORA oppfordres derfor finansaktører til å dele informasjon om IKT-sikkerhet med hverandre innenfor konkurranselovgivningens og personvernlovgivningens grenser for eksempel gjennom å etablere felles rapporteringsrutiner.

Oppfyllelse av DORA -  et konkurransefortrinn for IKT-underleverandører

Oppfyllelse av DORA kan være et konkurransefortrinn og kvalitetsstempel for underleverandører. For det første innebærer oppfyllelse av regelverket at kjøpere ikke trenger å tenke på om de må bytte leverandør etter at regelverket trer i kraft. For det andre åpner dette for at man kan levere tjenester i alle EØS-land som har implementert regelverket. For det tredje er oppfyllelse av DORA et kvalitetsstempel, siden forordningen stiller strenge krav til IKT-sikkerhet.

Minimumskrav til avtaler med underleverandører

For underleverandører som ikke er kritiske får DORA indirekte betydning siden forordningen stiller krav til innholdet i avtalene med finansaktører. Underleverandører som ikke er villig til å akseptere vilkårene som følger av DORA, for eksempel krav til varsel av sikkerhetsbrudd eller revisjonsplikter vil være avskåret fra å levere enkelte tjenester til finansaktører. 

De generelle kravene til innhold i avtalene med underleverandører framgår av artikkel 27 og omfatter blant annet: 

  • En klar og komplett beskrivelse av tjenestene som leveres.
  • En angivelse av hvor data vil bli prosessert. 
  • Bestemmelser om tilgjengelighet, integritet, sikkerhet, konfidensialitet og beskyttelse av data, inkludert personopplysninger.
  • Sikkerhet for tilgang til, gjenoppretting av og retur av personopplysninger ved opphør av underleverandørs virksomhet og avslutning av kontraktsforhold. 
  • En forpliktelse til å bistå ved IKT-relaterte hendelser. 

For kritiske og viktige funksjoner skal avtalene i tillegg inneholde bestemmelser som:

  • Gir finansaktøren adgang til å gjennomføre revisjoner.
  • Setter tydelige vilkår for hvordan avtalen skal avsluttes.
  • Fastsetter en eksit strategi. 

Regulering av kritiske IKT-underleverandører

ESAene vil utpeke hvilke underleverandører som er kritiske for finansaktørene, jf. artikkel 28. Typisk vil dette omfatte større internasjonale tjenestetilbydere. 

Utpekingen skjer blant annet på bakgrunn av:

  • hvilken systemisk påvirkning (“systemic impact”) tjenestetilbyderen har for stabiliteten, kontinuiteten eller kvaliteten som underleverandøren har for leveranse av finansielle tjenester, 
  • hvilke alternativer finansaktørene har i markedet, og
  • om tjenestene er overnasjonale.

ESAene kan gi retningslinjer for den enkelte kritiske underleverandører. Dersom disse ikke blir fulgt kan det føre til utestengelse fra EØS markedet og bøter.

Håndheving

Gjennom DORA vil EUs finansmyndigheter (også kalt ESAene) og Finanstilsynet bli gitt overvåknings-, etterforsknings- og sanksjonsmyndighet (bla. mulighet til å ilegge overtredelsesgebyr) slik at de kan begrense risikoen for finansiell ustabilitet som følge av IKT-sårbarheter. 

For foretak som vil bli omfattet av MiCA vil oppfyllelse av DORA være et vilkår for å få konsesjon som kryptotjenesteleverandør.

Hva skjer nå?

EU rådet og EU Parlamentet ble i mai i år enige om DORA reguleringen, men forordningsforslaget er ennå ikke vedtatt.

Det var en målsetning at EU-kommisjonens tiltakspakke for digitale finanstjenester skulle tre i kraft i 2024. EU-Parlamentet og -Rådet har imidlertid uttrykt ønske om å korte ned finansaktørerenes tilpasningsperiode med ett år. Dermed kan reguleringen komme på plass allerede i 2023.

Finanstilsynet har vurdert regelverksforslaget som EØS-relevant og akseptabelt. Man kan dermed forvente at DORA vil bli gjennomført i norsk rett.

PwC kan gjøre ditt foretak “DORA compliant”

DORA stiller krav til finansaktører i hele det indre marked. For å oppfylle  DORA må man:

  • Etablere rammeverk for styring av IKT-risiko og rutiner for rapportering av IKT-hendelser.
  • Regelmessig teste IKT-systemenes robusthet og motstandsdyktighet.
  • Håndtere IKT risiko knyttet til tredjeparter.
  • Gjennomføre informasjonsdeling i tråd med konkurranse- og personvernlovgivningen.

PwC har den juridiske og tekniske kompetansen som kreves for å gjøre ditt selskap “DORA-compliant”. Med vårt tverrfaglige nettverk kan vi bistå med å etablere rammeverk for styring av IKT risiko, teste IKT sikkerhet, utforme avtaler med tredjeparter som oppfyller kravene i DORA samt gi råd om konkurranse- og personvernlovgivningen.

Ta gjerne kontakt dersom du har spørsmål eller ønsker hjelp.
E-post: even.tukun@pwc.com
Tlf: 93417735 


Kilder: 

Proposal for a Regulation of the European Parliament and of the Council on digital operational resilience for the financial sector 

EØS-notatbasen - Forslag til forordning om digital operasjonell motstandsdyktighet i finanssektoren

Digital finance package | European Commission (europa.eu)

Directive (EU) 2016/1148 of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union

ENISA Threat Landscape 2021

Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT) FOR-2003-05-21-630




 

Even Tukun

Even Tukun

Tlf: 93 41 77 35 E-post: even.tukun@pwc.com.

Legg igjen en kommentar

Relevante artikler

Les artikkelen

Nytt lovforslag om låneformidling - nå må finansagenter og finansieringsplattformer ha konsesjon fra Finanstilsynet

Den 14. oktober 2022 sendte Finansdepartementet ut forslag til ny lov om låneformidling, samt enkelte lovendringer i finansforetaksloven, ...

Les artikkelen
Les artikkelen

Erfaringer fra praktisk implementering av de nye reglene for revisjonsutvalg

Nye oppgaver og økt ansvar medfører et behov for mer systematisering og dokumentasjon av arbeidet i revisjonsutvalget. I denne bloggen tar ...

Les artikkelen
Les artikkelen

Finanstilsynet gjør det lettere for fullmaktsforetak å oppfylle krav om forsikring

Lovpålagt krav om ansvarsforsikring uten egenandel har vært et vanskelig punkt for foretak som ønsker konsesjon for fullmaktstjenester ...

Les artikkelen