Branschnyhet

DORA – ett regelverk för finansiella aktörer att ha koll på

Med:

Christer Runestam,

Louise Wennström,

Jonathan Sörman

08 maj 20233 min lästid

I september 2020 presenterade Europeiska kommissionen förslaget ”The Digital Operational Resilience Act (DORA) ” – en förordning med syfte att stärka finansmarknadens operationella motståndskraft mot cyberrisker. Vad innebär denna förordning och vad bör finansiella aktörer tänka på i implementeringsarbetet?

DORA trädde i kraft i januari 2023 och har som primärt syfte att konsolidera nuvarande reglering och höja kraven inom IKT-riskhantering. Drivande faktorer till regelverket är bland annat det faktum att vi befinner oss i en tid av ökad digitalisering och sammankoppling, där finansiella aktörer blir alltmer beroende av informations- och kommunikationsteknik (IKT). Detta skapar möjligheter men medför också ökade risker.

I princip alla finansiella aktörer som står under Finansinspektionens tillsyn behöver följa DORA, vilket innebär att regelverket har ett relativt extensivt tillämpningsområde. Finansiella aktörer som träffas av regelverket är banker och andra kreditgivare, betalinstitut, värdepappersbolag, fondförvaltare, försäkringbolag, tjänstepensionsinstitut med flera. Denna kategori av aktörer behöver nu börja fundera över hur de förhåller sig till DORA och vilka åtgärder de behöver vidta för att stå redo när regelverket ska börja tillämpas den 17 januari 2025.

Viktiga områden som DORA ställer krav inom

IKT-riskhantering
klassificering och rapportering av IKT-relaterade incidenter
testning av digital operativ motståndskraft
hantering av IKT-tredjepartsrisker
informationsutbyte mellan finansiella aktörer

Tre råd för en lyckad implementering av DORA

1. Arbeta holistiskt och involvera hela organisationen

Det är viktigt att förstå att DORA inte bara påverkar företagets IT-avdelning, utan hela organisationen. Det är därför viktigt att etablera en god förståelse för IKT-risker i företagsledningen och säkerställa att det finns en robust styrning gällande IKT-risker och hantering av dessa. Engagemang och involvering bidrar inte bara till en lyckad implementering av DORA, utan ökar också den allmänna säkerheten och motståndskraften inom organisationen.

2. Gör en gapanalys

Att tidigt genomföra en gapanalys kan bidra till att identifiera områden där företaget behöver förbättra sin operativa motståndskraft för att möta kraven i DORA-regleringen. En gapanalys kan också hjälpa er att identifiera potentiella risker som kan uppstå på grund av brister i företagets nuvarande processer och system.

3. Kom igång med implementeringen i tid

Även om DORA börjar tillämpas i januari 2025, ser vi många bolag som inte har den mognad som krävs inom IKT-riskhantering och har en bit kvar på vägen för att vara redo för DORA. Det kan ta tid att genomföra de åtgärder som krävs, särskilt om det finns brister i företagets befintliga processer och system.

Tjänster

Vi kan hjälpa er med: IT Assurance

Jag vill veta mer

Vi hjälper dig

Grant Thornton har bred kompentens inom IKT-riskhantering, både vad gäller regelverksfrågor och IT-teknisk kunskap. Exempel på tjänster vi erbjuder är workshops och gapanalyser i förhållande till DORA samt ytterligare råd och stöd för en lyckad implementering.

Välkommen att kontakta våra experter för frågor eller råd om DORA.

Christer Runestam

Branschansvarig för Financial Services

Läs mer och kontakta Christer Runestam

Taggar

Senaste nytt

Se fler artiklar

Tjänster

Revision

Rådgivning

Skatt

Internationella tjänster

Ekonomitjänster

ESG och hållbarhet

Branscher

Tech

Vård och omsorg

Ideell sektor

Private Equity

Financial Services

Transport och logistik

Bygg och fastighet

Karriär

Lediga jobb

Jobba på Grant Thornton

För dig som är nyexaminerad/student

För dig som har erfarenhet

Områden att arbeta inom

Om oss

Kontakt

Sökdialog