Forordningen om Digital Operationel Robusthed (DORA), og dens tilhørende delegerede retsakter, fandt anvendelse i den finansielle sektor den 17. januar 2025. Forordningen har til formål at samle eksisterende regulering om cyber- og informationssikkerhed på det finansielle område, så den europæiske indsats for modstandsdygtighed over for cyberangreb i den finansielle sektor styrkes gennem harmoniserede EU-krav og regler.
DORA forordningen bygger på fem søjler:
- IT-risikostyring: principper for og krav til IT-risikostyring
- Hændelsesrapportering: udvidelse af finansielle enheders forpligtelser samt harmonisering og strømlining af hændelsesrapportering
- Test: krav om grundlæggende og avanceret test af digital operationel robusthed
- Leverandørstyring: overvågning af risici, krav til kontrakter og tilsyn med kritiske leverandører
- Informationsdeling: frivillig udveksling af information og efterretninger vedrørende cybertrusler
Der er med forordningen bl.a. introduceret omfattende krav til selskabernes it-risikostyring og håndtering af it-underleverandører. Forordningens samlede krav betyder, at forsikrings- og pensionsområdet nu er underlagt markant mere detaljerede og ressourcekrævende regler end tidligere.
Implementering
Forordningen bliver implementeret gennem en række delegerede retsakter (tekniske standarder), to vejledninger og rapporter. Eksperter fra Europa-Kommissionen, de europæiske tilsynsmyndigheder, ECB, ENISA, de nationale kompetente myndigheder og nationalbankerne har udarbejdet de tekniske standarder, som alle er blevet vedtaget af Europa-Kommissionen.
Proportionalitetsprincippet vil være styrende for selskabernes implementering af forordningen. Proportionalitetsprincippet giver dermed mulighed for en differentieret og målrettet efterlevelse af kravene på nogle områder, det gælder bl.a., men ikke udelukkende, arbejdet med risikostyring, i udarbejdelsen af IKT-politikker, protokoller mv. samt ved hændelsesrapportering.
F&P’s holdning og fokus
F&P har særligt fokus på, at de nye krav og regler - og deraf øgede investeringer og ressourcetræk hos selskaberne - står i rimelige forhold til det reelle risikobillede for branchens aktører.
Et solidt og tværgående højt cybersikkerhedsniveau i sektoren er i alles interesse. Aktørerne i den finansielle sektor er dog meget forskellige, både hvad angår størrelse, aktiviteter, kompleksitet og kritikalitet for den finansielle stabilitet. Der er fx markant forskel på de risici, som er knyttet til bankdrift og de risici, som forsikrings- og pensionsselskaberne håndterer. Det har derfor været afgørende for F&P, at nye krav til branchen er proportionelle og risikobaserede, og at selskaberne har mulighed for at implementere dem efter en risikobaseret tilgang.
F&P har derudover fokus på, at proportionalitetsprincippet vil være styrende for de ansvarlige myndigheders tilsyn med selskabernes implementering af forordningen. Det er vigtigt, at proportionalitetsprincippet anvendes i praksis, når selskaberne kan fremvise dokumentation for velargumenterede og risikobaserede valg ifm. implementeringen, bl.a. inden for områderne risiko- og leverandørstyring samt ved penetrationstest.
Derudover er det vigtigt for F&P, at selskaberne får rimelig deadlines for implementering af de nye krav. Lovgivningsprocessen har været markant forsinket, og dele af retsakterne er først trådt i kraft seks måneder efter deadline for implementering af forordningen. Det er vigtigt, at det ikke går ud over selskabernes deadlines, men at de får tilstrækkeligt med tid til at implementere nye regler og krav.
Implementeringen af DORA-forordningen er en stor opgave for branchen. F&P vil blive ved med at rette fokus på en balanceret implementering, så værdien af nye regler og krav står mål med de byrder, der pålægges selskaberne.
