Den 16. januar 2023 trådte Europa-Parlamentets og Rådets forordning (EU) 2022/2554 om digital operationel modstandsdygtighed i den finansielle sektor (”DORA forordningen”) i kraft. Forordningen finder anvendelse den 17. januar 2025.
Formålet med forordningen af at etablere en fælles ramme for at sikre digital operationel robusthed i den finansielle sektor via:
- harmonisering af krav til IT- og cybersikkerhed og
- en modernisering af regelværket på området.
Forordningen vil gælde for det store flertal af forsikrings- og pensionsselskaber i EU. I den forbindelse bemærkes det, at NIS2 direktivet ikke gælder for selskaber, der er omfattet af DORA forordningen.
DORA forordningen bygger på fem søjler:
- IT-risikostyring: principper for og krav til IT-risikostyring
- Hændelsesrapportering: udvidelse af finansielle enheders forpligtelser samt harmonisering og strømlining af hændelsesrapportering
- Test: krav om grundlæggende og avanceret test af digital operationel robusthed
- Leverandørstyring: overvågning af risici, krav til kontrakter og tilsyn med kritiske leverandører
- Informationsdeling: frivillig udveksling af information og efterretninger vedrørende cybertrusler
Introduktionen af fælles regler på tværs af den samlede sektor betyder, at forsikrings- og pensionsområdet underlægges markant mere detaljerede krav end det er tilfældet i dag. Dertil introducerer DORA forordningen en mere omfattende regulering af små- og mellemstore virksomheder.
Proportionalitet er imidlertid et styrende princip for forordningen. Således skal de nye krav til selskaberne stå mål med det enkelte selskabs størrelse og risikoprofil samt karakteren, omfanget og kompleksiteten af selskabets tjenester, aktiviteter og operationer.
Implementering
Forordningen skal udmøntes via 10 tekniske standarder, to ’Call for Advice’ (delegerede retsakter), to vejledninger og en række rapporter, der alle skal være færdige inden for 18 måneder.
Det vil være eksperter fra Europa-Kommissionen, de europæiske tilsynsmyndigheder, ECB, ENISA, de nationale kompetente myndigheder og nationalbankerne, der skal formulere de tekniske standarder mv. De tekniske standarder skal vedtages af Europa-Kommissionen inden de finder anvendelse.
F&P’s holdning
F&P har særligt fokus på de krav, der knytter sig til risikostyring, leverandørstyring, hændelsesrapportering og test.
Det er afgørende, at de nye krav bliver proportionelle og risikobaserede. Særligt vigtigt er, at kravene afspejler, at aktørerne i den finansielle sektor ikke har den samme risikoprofil. Eksempelvis er der markant forskel på de risici, som er knyttet til bankdrift og de risici, som forsikrings- og pensionsselskaberne håndterer.
Derudover lægger F&P vægt på, at myndighederne fastlægger rimelige deadlines for implementeringen af de nye krav eftersom de tekniske standarder først skal foreligge 6-12 måneder inden forordningen finder anvendelse.
For det første er seks måneder meget kort tid til at tilpasse selskabernes drift til nye krav. For det andet er der risiko for, at lovgivningsarbejdet forsinkes. I tilfælde af forsinkelser i lovgivningsprocessen bør deadlines for implementering af kravene udskydes tilsvarende.
Ligeledes mener F&P, at det er afgørende, at der er sammenhæng mellem de tekniske standarder, som skal udmønte DORA, og øvrig europæisk lovgivning. Det skal sikres, at nøglebegreber defineres ens på tværs af lovgivningen og at kravene, der stilles til selskaberne i regi af DORA, er i overensstemmelse med kravene i den øvrige lovgivning.
Endelig er F&P optaget af, at der er overensstemmelse mellem tekniske standarder og EIOPA’s vejledninger.