I henhold til DORA artikel 45 kan finansielle virksomheder indbyrdes udveksle oplysninger og efterretninger om cybertrusler, herunder kompromitteringsindikatorer, taktikker, teknikker og procedurer, cybersikkerhedsvarsler og konfigurationsværktøjer, gennem ordninger for informationsudveksling. Det er frivilligt at deltage i sådanne ordninger.
Formålet med reglerne om ordninger for informationsudveksling i DORA er at tilskynde de finansielle virksomheder til indbyrdes at udveksle oplysninger og efterretninger om cybertrusler og til i fællesskab at udnytte deres individuelle viden og praktiske erfaring på strategisk, taktisk og operationelt plan til at styrke deres kapaciteter til i tilstrækkeligt omfang at vurdere, overvåge, forsvare sig mod og sætte ind over for cybertrusler ved at deltage i ordninger for informationsudveksling
Ordninger for informationsudveksling kan indgås, hvis de:
- har til formål at forbedre virksomhedernes digitale operationelle modstandsdygtighed
- finder sted inden for betroede fællesskaber af finansielle enheder
- beskytter udvekslede oplysningers sensitive karakter
- omfatter adfærdsregler med fuld respekt for forretningshemmeligheder og tager hensyn til gældende regler om databeskyttelse og konkurrenceret.
Dertil kommer, at ordninger for informationsudveksling skal fastlægge betingelser for deltagelse og, hvis det er relevant, bestemmelser om:
- inddragelse af offentlige myndigheder og i hvilken egenskab offentlige myndigheder kan indgå
- inddragelse af tredjepartsudbydere af IKT-tjenester
- operationelle elementer, herunder anvendelse af særlige IT-platform
Finansielle virksomheder skal underrette Finanstilsynet om deres deltagelse i sådanne ordninger, jf. artikel 45, stk. 3, og skal ligeledes underrette Finanstilsynet, hvis de udtræder igen af sådanne ordninger.
Formålet med underretningen er, at Finanstilsynet har overblik over, hvilke informationsudvekslingsordninger, der benyttes af de finansielle virksomheder i Danmark.
Underretningen bedes udført ved at sende følgende oplysninger til Finanstilsynets DORA-postkasse dora@ftnet.dk:
- Finansielle enheds navn og CVR-nummer
- Ordningens navn
- Dato for indtrædelse/udtrædelse
- Andre virksomheder, der deltager, hvis det vides
- Andre relevante oplysninger, såsom beskrivelse af ordningens formål og betingelser for deltagelse
Du kan læse mere her om vedledning til at kommunikere fortroligt med Finanstilsynet med digital post.
Ved henvendelser via Finanstilsynets hovedpostkasse bedes det fremgå, at henvendelsen vedrører en underretning om ordning for informationsudveksling og skal videresendes til kontor for it-sikkerhed og cyberrisici.