Forordningen har fået navnet DORA, som står for Digital Operational Resilience Act. Lovpakken består af en hovedforordning, som indeholder de overordnede regler om tilsyn med it- og cybersikkerhed, et følgedirektiv som indeholder de nødvendige konsekvensændringer i andre direktiver samt en række supplerende regler, som skal udarbejdes når forordningen træder i kraft.
Det overordnede hensyn bag den kommende forordning er et ønske om at imødegå de risici, der udvikler sig i lyset af den stigende digitalisering af finanssektoren i hele Europa, som finder sted samtidig med den hurtige udvikling af cybertrusler mod finanssektoren.
Forordningen sætter nye og mere tidssvarende rammer for tilsynet med it- og cybersikkerhed i et fælles regelsæt på tværs af finanssektoren.
Hvilke virksomheder er omfattet af DORA?
Følgende virksomheder er omfattet af forslaget:
- Kreditinstitutter, betalingsinstitutter, e-pengeinstitutter og investeringsselskaber.
- Forsikrings- og genforsikringsvirksomheder, større forsikringsformidlere og arbejdsmarkedspensionsselskaber,
- Værdipapircentraler, regulerede markeder, transaktionsregistre, forvaltere af alternative investeringsfonde, investeringsforvaltningsselskaber, centrale modparter og udbydere af dataindberetningstjenester.
- Virksomheder indenfor kryptoaktiver, som bliver omfattet af den kommende forordning på dette område (MiCA-forordningen).
- Administratorer af kritiske benchmarks, crowdfundingtjenesteudbydere, securitiseringsregistre og kreditvurderingsbureauer
- It-leverandører som er systemiske på EU-niveau
Hvad går de nye regler ud på?
DORA indeholder regler på følgende områder:
a) krav til finansielle virksomheder vedrørende:
– it-risikostyring
– indberetning af større it-relaterede hændelser til myndighederne
– test af cybersikkerhed, herunder trusselsbaseret penetrationstest ell. red team testing
– udveksling af oplysninger og efterretninger om cybertrusler og sårbarheder
– styring af it-tredjepartsrisici i finansielle virksomheder
b) krav til kontrakter (om fx outsourcing), der indgås mellem it-leverandører og finansielle virksomheder
c) en ny ordning for overvågning af it-leverandører, som er kritiske for den finansielle sektor på EU-niveau
d) regler om samarbejde mellem kompetente myndigheder og om de kompetente myndigheders tilsyn og håndhævelse af reglerne.
Hvornår træder de nye regler i kraft?
Forordningen og direktivet blev vedtaget 28. november og offentliggjort 27. december. Reglerne træder i kraft 16. januar og skal anvendes fra 17. januar 2025. I den mellemliggende periode skal der udarbejdes en række supplerende regler til DORA og foretages ændringer og tilpasninger i de nuværende danske regler.
Supplerende regler
Forordningen betyder at der skal udstedes en række nye detaljerede regler og vejledninger, som vil præcisere reglerne i forordningen. De fleste af disse regler bliver fastsat i form af delegerede forordninger med direkte virkning (også kaldet reguleringsmæssige tekniske standarder ell. RTS’er) og implementeringsmæssige tekniske standarder (ITS’er). Der er tale om følgende nye regelsæt:
- RTS om udførelse af tilsynet med kritiske tredjepartsleverandører
- RTS om indholdet af hændelsesrapporter, betingelser for uddelegering af rapportering til tredjeparter, kriterier for bedømmelse af virkningen af hændelser
- RTS om indholdet af politikken i forhold til kontrakter med it-leverandører og indholdet af oplysningerne i registret over kontraktlige arrangementer (outsourcingregistre)
- RTS om kriterier og krav med hensyn til trusselsbaserede penetrationstests (TLPT)
- RTS om kriterier for klassificering af it-relaterede hændelser og cybertrusler
- RTS om udpegning af medlemmerne af de fælles undersøgelseshold samt dettes opgaver og samarbejdsrelationer
- RTS om elementer til at bestemme og vurdere ved underleverandør af kritiske eller vigtige funktioner
- RTS om it-risikostyringsværktøjer, metoder, processer og politikker
- RTS om proportionalt rammeværk til it-risikostyring
- ITS om formularer, skabeloner og procedurer for finansielle virksomheder til at rapportere større it-relaterede hændelser
- ITS om standardskabeloner til register over kontrakter om brugen af it-tjenester leveret af tredjeapartsleverandører
- Retningslinjer om samarbejde mellem de europæiske tilsynsmyndigheder (de fælles tilsynsorganer, den ledende tilsynsførende) og de kompetente myndigheder i medlemslandene
- Retningslinjer om udveksling af information om væsentlige it-relaterede hændelser
- Retningslinjer om metode til beregning af omkostninger og kvantificering af tab ved reaktioner og genopretning