Nye regler om cybersikkerhed i finanssektoren

Det Europæiske Råd og Europaparlamentet har vedtaget en ny forordning, der skal modernisere og harmonisere IT-tilsynet i den finansielle sektor på tværs af virksomhedstyper i hele EU.

Forordningen har fået navnet DORA, som står for Digital Operational Resilience Act. Lovpakken består af en hovedforordning, som indeholder de overordnede regler om tilsyn med IT- og cybersikkerhed, et følgedirektiv som indeholder de nødvendige konsekvensændringer i andre direktiver samt en række supplerende regler, som skal udarbejdes når forordningen træder i kraft.

Det overordnede hensyn bag den kommende forordning er et ønske om at imødegå de risici, der udvikler sig i lyset af den stigende digitalisering af finanssektoren i hele Europa, som finder sted samtidig med den hurtige udvikling af cybertrusler mod finanssektoren.
Forordningen sætter nye og mere tidssvarende rammer for tilsynet med IT- og cybersikkerhed i et fælles regelsæt på tværs af finanssektoren.

Hvilke virksomheder er omfattet af DORA?

Følgende virksomheder er omfattet af forslaget:

  • Kreditinstitutter, betalingsinstitutter, e-pengeinstitutter og investeringsselskaber.
  • Forsikrings- og genforsikringsvirksomheder, større forsikringsformidlere og arbejdsmarkedspensionsselskaber,
  • Værdipapircentraler, regulerede markeder, transaktionsregistre, forvaltere af alternative investeringsfonde, investeringsforvaltningsselskaber, centrale modparter og udbydere af dataindberetningstjenester.
  • Virksomheder indenfor kryptoaktiver, som bliver omfattet af den kommende forordning på dette område (MiCA-forordningen).
  • Administratorer af kritiske benchmarks, crowdfundingtjenesteudbydere, securitiseringsregistre og kreditvurderingsbureauer
  • IT-leverandører som er systemiske på EU-niveau 

Hvad går de nye regler ud på?

DORA indeholder regler på følgende områder:

  1. krav til finansielle virksomheder vedrørende:
    • IT-risikostyring
    • indberetning af større IT-relaterede hændelser til myndighederne
    • test af cybersikkerhed, herunder trusselsbaseret penetrationstest ell. red team testing
    • udveksling af oplysninger og efterretninger om cybertrusler og sårbarheder
    • styring af IT-tredjepartsrisici i finansielle virksomheder
  2.  krav til kontrakter (om fx outsourcing), der indgås mellem IT-leverandører og finansielle virksomheder
  3. en ny ordning for overvågning af IT-leverandører, som er kritiske for den finansielle sektor på EU-niveau
  4. regler om samarbejde mellem kompetente myndigheder og om de kompetente myndigheders tilsyn og håndhævelse af reglerne.

Hvornår træder de nye regler i kraft?

Forordningen og direktivet blev vedtaget 28. november og offentliggjort 27. december. Reglerne træder i kraft 16. januar og skal anvendes fra 17. januar 2025. I den mellemliggende periode skal der udarbejdes en række supplerende regler til DORA og foretages ændringer og tilpasninger i de nuværende danske regler.

Supplerende regler

Forordningen betyder at der skal udstedes en række nye detaljerede regler og vejledninger, som vil præcisere reglerne i forordningen. De fleste af disse regler bliver fastsat i form af delegerede forordninger med direkte virkning (også kaldet reguleringsmæssige tekniske standarder ell. RTS’er) og implementeringsmæssige tekniske standarder (ITS’er). Der er tale om følgende nye regelsæt:

  • RTS om udførelse af tilsynet med kritiske tredjepartsleverandører
  • RTS om indholdet af hændelsesrapporter, betingelser for uddelegering af rapportering til tredjeparter, kriterier for bedømmelse af virkningen af hændelser
  • RTS om indholdet af politikken i forhold til kontrakter med IT-leverandører og indholdet af oplysningerne i registret over kontraktlige arrangementer (outsourcingregistre)
  • RTS om kriterier og krav med hensyn til trusselsbaserede penetrationstests (TLPT)
  • RTS om kriterier for klassificering af IT-relaterede hændelser og cybertrusler
  • RTS om udpegning af medlemmerne af de fælles undersøgelseshold samt dettes opgaver og samarbejdsrelationer
  • RTS om elementer til at bestemme og vurdere ved underleverandør af kritiske eller vigtige funktioner
  • RTS om IT-risikostyringsværktøjer, metoder, processer og politikker
  • RTS om proportionalt rammeværk til IT-risikostyring
  • ITS om formularer, skabeloner og procedurer for finansielle virksomheder til at rapportere større IT-relaterede hændelser
  • ITS om standardskabeloner til register over kontrakter om brugen af IT-tjenester leveret af tredjeapartsleverandører
  • Retningslinjer om samarbejde mellem de europæiske tilsynsmyndigheder (de fælles tilsynsorganer, den ledende tilsynsførende) og de kompetente myndigheder i medlemslandene
  • Retningslinjer om udveksling af information om væsentlige IT-relaterede hændelser
  • Retningslinjer om metode til beregning af omkostninger og kvantificering af tab ved reaktioner og genopretning
     
Senest opdateret 26-01-2023