Introduktion till DORA
Förordningen om digital operativ motståndskraft för finanssektorn är en EU-förordning som syftar till att öka den digitala operativa motståndskraften hos EU:s finanssektor och dess kritiska it-leverantörer.
På engelska heter förordningen Digital Operational Resilience Act och vi kommer här att använda förkortningen DORA.
DORA börjar tillämpas den 17 januari 2025. Länk till DORA:s lagtext.
DORA omfattar med vissa undantag bland annat betalningsinstitut, kreditinstitut, kreditvärderingsinstitut, försäkringsbolag, försäkringsförmedlare, tjänstepensionsinstitut, värdepapperscentraler, leverantörer av kryptotillgångstjänster, handelsplatser och leverantörer av gräsrotsfinansieringstjänster.
Dessutom omfattas tredjepartsleverantörer av IKT-tjänster. IKT är informations- och kommunikationsteknik. IKT-tjänster är alltså det vi vanligen kallar it-tjänster.
I den här genomgången berör vi först DORA på ett övergripande plan. Därefter tittar vi närmare på ett par av förordningens specifika regleringar som gäller leverantörskedjor samt avslutande av kontrakt och exitplaner.
Vad innebär digital operativ motståndskraft?
DORA:s definition av digital operativ motståndskraft är en munfull. Vi kan dela upp definitionen i punkter såhär:
- en finansiell entitets förmåga,
- att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet,
- genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster,
- säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att
- hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder, och
- som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott.
Eller i förenklad form: en finansiell entitets förmåga att med stöd av it-tjänster säkerställa verksamhetens säkerhet och kontinuitet.
Säkerhet kan exempelvis handla om skydd mot antagonister som försöker komma åt, manipulera eller skapa avbrott i tillgången till en verksamhets känsliga information. Vi har på sidan Informationssäkerhet enligt ISO 27000 kortfattat beskrivit vad informationssäkerhet handlar om.
Kontinuitet handlar om hur en verksamhet i tillräcklig grad kan vidmakthålla sin förmåga att utföra prioriterade aktiviteter även vid störningar eller avbrott.
Verksamhetens tillgång till sin information kan givetvis vara en mycket viktig del av detta. Kontinuitet bör dock ses i ett bredare perspektiv. Det handlar om allt som rör en verksamhetens förmåga att fortsätta utföra sina prioriterade aktiviteter, exempelvis att producera vissa tjänster som andra delar av samhället förlitar sig på.
Standarder, handbok och vägledning
Standarden för ledningssystem för informationssäkerhet, ISO 27001, brukar uppdateras med några års mellanrum. I den senaste versionen, ISO 27001:2022, adderas säkerhetsåtgärder för kontinuitet i it-system. Standarden går att certifiera sig mot, och Cleura har ett certifierat ledningssystem för informationssäkerhet enligt ISO 27001.
Myndigheten för samhällsskydd och beredskap (MSB) har en sida med samlat material om kontinuitetshantering. MSB har också ingått ett avtal med SIS för att kostnadsfritt tillhandahålla en Handbok för kontinuitetshantering.
Vad gäller finansiella entiteter länkar MSB också till Finansiella Sektorns Privat-Offentliga Samverkan (FSPOS) Vägledning för kontinuitetshantering. Den är dock från år 2021 och tar inte hänsyn till bestämmelserna i just DORA.
Varför är DORA en EU-reglering?
Säkerhet och kontinuitet är förstås i någon mån viktigt för alla finansiella entiteter. Ett argument som ibland lyfts för att följa DORA är att det ligger i verksamheters eget intresse att ha en hög nivå av säkerhet och kontinuitet.
En fråga som då uppkommer är varför en reglering är nödvändig. Hade det inte räckt att varje finansiell entitet själv fick välja hur mycket eller lite den ville prioritera detta?
Så som samhället utvecklats har det skapats beroenden mellan finansiella entiteter, deras IKT-leverantörer och samhället i stort.
Ökad digitalisering och sammanlänkning ökar också IKT-risk och gör samhället som helhet – och i synnerhet det finansiella systemet – mer sårbart för cyberhot eller IKT-avbrott. …
Hela finanssektorn har blivit till stor del digital, och digitaliseringen har också fördjupat sammanlänkningarna och beroendena inom finanssektorn och med tredjepartsinfrastruktur och tredjepartstjänsteleverantörer. …
Europeiska systemrisknämnden (ESRB) bekräftade i en rapport från 2020 om systemrisker på cyberområdet att den nuvarande höga graden av sammanlänkning mellan finansiella entiteter, finansmarknader och finansmarknadsinfrastrukturer, och särskilt det ömsesidiga beroendet mellan deras IKT-system, skulle kunna utgöra en systemsårbarhet, eftersom lokala cyberincidenter snabbt skulle kunna spridas från någon av de cirka 22 000 finansiella entiteterna i unionen till hela det finansiella systemet, utan hinder av geografiska gränser. Allvarliga IKT-relaterade överträdelser inom finanssektorn påverkar inte bara finansiella entiteter var för sig. De underlättar också spridning av lokaliserade sårbarheter i de finansiella överföringskanalerna och kan få negativa konsekvenser för stabiliteten i unionens finansiella system, t.ex. generera likviditetsrusningar och generellt leda till ett minskat förtroende för finansmarknaderna.
Skäl 1, 2 och 3 DORA.
Genom att DORA gör det obligatoriskt för finansiella entiteter att arbeta systematiskt med säkerhet och kontinuitet, och uppfylla vissa minimikrav, så får avbrott i den egna verksamheten inte lika allvarliga följdverkningar i resten av unionen. Ringarna på vattnet görs mindre.
Vår slutsats är att detta är DORA:s existensberättigande.
Genom att regleringen görs enhetlig på EU-nivå så undviks en snedvridning av konkurrensen på den inre marknaden.
Långa eller komplexa underleverantörskedjor
En finansiell entitet behöver förstå vilka länkar som finns i den kedja entiteten förlitar sig på för att dess verksamhet ska fungera. I DORA uppmärksammas härvid utmaningarna med många underleverantörer, eller underleverantörer i flera led.
Om de kontraktsmässiga arrangemangen om användning av IKT-tjänster som stöder kritiska eller viktiga funktioner medger underentreprenad, ska finansiella entiteter bedöma om och hur potentiellt långa eller komplexa underentreprenadskedjor kan påverka deras förmåga att till fullo övervaka de avtalade funktionerna och den behöriga myndighetens förmåga att effektivt övervaka den finansiella entiteten i detta avseende.
Artikel 29.2 fjärde stycket DORA.
Den finansiella entiteten ska alltså inte enbart bedöma påverkan på den egna förmågan att följa upp avtalet, utan också påverkan på tillsynsmyndighetens förmåga att utöva effektiv tillsyn.
Här kan noteras att vissa molntjänstleverantörer har ett mycket omfattande antal underleverantörer, som i praktiken kan bli mycket svåra eller omöjliga att ens överblicka.
En annan utmaning för regelefterlevnaden är om molntjänstleverantören ensidigt och ofta gör förändringar i vilka underleverantörer som anlitas. Här är det istället en fördel med en molntjänstleverantör med ett minimum av underbiträden i leveransen.
Avslutande av kontrakt och obligatoriska exitstrategier
Artikel 28.7 DORA handlar om att finansiella entiteter måste kunna avsluta sina avtal med IKT-leverantörer under vissa omständigheter. Det kan exempelvis vara om leverantören på ett betydande sätt bryter mot avtalet eller lagar, eller leverantören har påvisade svagheter i sitt informationssäkerhetsarbete.
Att avsluta ett avtal kan vara enkelt, vad som kan vara svårare är att hantera konsekvenserna.
Det är nu vi kommer till artikel 28.8 i DORA, som ställer krav på exitstrategier.
När det gäller IKT-tjänster som stöder kritiska eller viktiga funktioner ska finansiella entiteter införa exitstrategier.
Exitstrategierna ska ta hänsyn till risker som kan uppstå hos tredjepartsleverantörerna av IKT-tjänster, i synnerhet eventuella fel hos dessa, försämring av kvaliteten på de IKT-tjänster som tillhandahålls, eventuella avbrott i verksamheten på grund av olämpligt eller misslyckat tillhandahållande av IKT-tjänster eller eventuella väsentliga risker som uppstår i samband med en lämplig och kontinuerlig användning av respektive IKT-tjänst, eller uppsägning av kontraktsmässiga arrangemang med tredjepartsleverantörer av IKT-tjänster under någon av de omständigheter som anges i punkt 7.
Finansiella entiteter ska säkerställa att de kan säga upp kontraktsmässiga arrangemang utan
a) avbrott i sin affärsverksamhet,
b) begränsning av efterlevnaden av lagstadgade krav,
c) skada på kontinuiteten och kvaliteten hos de tjänster som tillhandahålls kunder.Exitplanerna ska vara heltäckande och dokumenterade och de ska, i enlighet med kriterierna i artikel 4.2, vara tillräckligt testade och ska regelbundet ses över.
Finansiella entiteter ska identifiera alternativa lösningar och utarbeta övergångsplaner som gör det möjligt för dem att avlägsna de kontrakterade IKT-tjänsterna och relevanta data från tredjepartsleverantören av IKT-tjänster och på ett säkert och fullständigt sätt överföra dem till alternativa leverantörer eller återintegrera dem internt.
Finansiella entiteter ska ha lämpliga beredskapsåtgärder på plats för att upprätthålla kontinuiteten i verksamheten vid uppkomst av de omständigheter som avses i första stycket.
Artikel 28.8 DORA.
Det framstår som logiskt att knyta en artikel om uppsägning till en artikel som faktiskt syftar till att uppsägningen kan genomföras när det behövs. Utan en realistisk, praktisk möjlighet att byta leverantör inom rimlig tid skulle möjligheten att säga upp avtalet bli närmast illusorisk. Risken är då att en uppsägning leder till något av följande:
- Uppsägningen måste förlängas medan en dyr och kostsam migreringsprocess pågår. Det är inte bara data som behöver flyttas utan också applikationer, som rentav kan behöva byggas om. Bristerna som föranledde uppsägningen består under denna tid. Samtidigt är den befintliga leverantören kanske inte den mest taggade på att leverera på topp till en kund som ändå ska lämna.
- Uppsägningen återkallas med mössan i hand, och den finansiella entiteten tvingas leva vidare med de brister som föranledde uppsägningen.
- Den finansiella entiteten tvingas acceptera kraftiga prisökningar för att leverantören ska vidta de åtgärder som krävs, samtidigt som andra leverantörer.
- Uppsägningen genomförs inte till att börja med, och den finansiella entiteten tvingas leva med brister som egentligen borde föranleda en uppsägning.
För att i praktiken kunna avsluta ett avtal och leva med konsekvenserna krävs det mer än andra leverantörer med ett funktionellt sätt lämpligt erbjudande. Det krävs att en migrering till en konkurrerande lösning faktiskt är realistiskt och praktiskt genomförbar inom rimlig tid.
Som nämnts tidigare kan det bli utmanande om en finansiell entitet ska förlita sig på en molntjänstleverantör som ensidigt och ofta gör förändringar i vilka underleverantörer som anlitas. Det kan på motsvarande sätt bli utmanande om det sker andra ensidiga förändringar, exempelvis i villkoren för uppgiftshantering. Sådana förändringar skulle kunna leda till oenighet mellan molntjänstleverantör och kund.
I ett sådant läge är det förstås en fördel som kund att ha en starkare förhandlingsposition, vilket kan uppnås genom en realistisk möjlighet att byta till en annan molntjänstleverantör.
Om den finansiella entiteten däremot valt att använda en molntjänstleverantörs leverantörsunika implementationer av funktioner samt proprietära API:er, då finns det troligtvis en teknisk och kompetensmässig inlåsning till den leverantören.
Det blir då också svårare att se framför sig hur en sådan finansiell entitet ska kunna ta fram en exitstrategi värd namnet.
Har du frågor om molntjänster och digitalisering?
Vi kan hjälpa din organisation att genomföra digitaliseringsresan på ett lagligt och hållbart sett.