Vad innebär DORA för finanssektorn?
DORA godkändes av Europaparlamentet i november 2022 som en del av EU:s bredare strategi för att hantera ökande cyberhot och digitala risker. Förordningen omfattar en rad finansiella verksamheter, inklusive banker, försäkringsbolag, och handelsplatser. Dessutom inkluderas tredjepartsleverantörer av kritiska ICT-tjänster, såsom molntjänster, vilket understryker deras betydelse i dagens digitala finansiella infrastruktur.
Förordningen kräver att finansiella aktörer implementerar:
Riskhanteringsramverk för ICT som adresserar sårbara punkter och motståndskraft.
Regelbunden testning av den digitala motståndskraften genom så kallade "resilience testing".
Incidentrapporteringsprotokoll som möjliggör snabb respons och informationsdelning.
För tredje parts ICT-leverantörer införs ett nytt tillsynssystem som ska säkerställa att även dessa verksamheter uppfyller kraven på cybersäkerhet.
Fokus på phishing-säker flerfaktorsautentisering (MFA)
Även om DORA inte uttryckligen nämner flerfaktorsautentisering (MFA), betonas vikten av stark autentisering som en del av en omfattande cybersäkerhetspolitik. MFA spelar en central roll i att minska risken för obehörig åtkomst och datainträngningar.
Det finns dock stora skillnader mellan olika MFA-lösningar. För att verkligen uppfylla DORA:s mål rekommenderas användning av moderna phishing-säkra MFA-verktyg, exempelvis hårdvarunycklar som YubiKey. Dessa verktyg erbjuder högsta nivå av skydd mot avancerade cyberhot som phishing och credential-stuffing-attacker.
Genom att implementera MFA kan företag inte bara skydda sina digitala tillgångar utan också minska potentiella kostnader kopplade till cyberincidenter.
Vad händer vid bristande efterlevnad?
För företag som inte uppfyller DORA:s krav kan konsekvenserna bli allvarliga. Europeiska tillsynsmyndigheter har rätt att utdöma dagliga sanktionsavgifter under en period på upp till sex månader. Avgifterna kan uppgå till 1% av företagets genomsnittliga dagliga globala omsättning från föregående år.
Som exempel kan en svensk bank med en årlig omsättning på 100 miljarder kronor riskera dagliga sanktionsavgifter på cirka 2,74 miljoner kronor. Om bristen kvarstår under hela sexmånadsperioden kan det resultera i en total sanktionsavgift på upp till 493 miljoner kronor. Detta understryker vikten av att företag i finanssektorn prioriterar efterlevnad av DORA.
Förutom ekonomiska sanktioner riskerar företag också:
Operationella begränsningar: Vissa tjänster eller aktiviteter kan förbjudas om de bedöms vara särskilt sårbara.
Indragna licenser: Vid upprepad eller allvarlig bristande efterlevnad kan licenser för affärsverksamhet dras in.
Skada på rykte och förtroende: Cyberincidenter och sanktionsåtgärder kan undergräva förtroendet hos kunder och partners, vilket riskerar att få långsiktiga konsekvenser.
Vad bör svenska aktörer göra nu?
Med endast en månad kvar tills DORA träder i kraft är det avgörande att svenska finansaktörer och ICT-leverantörer prioriterar efterlevnad. Detta inkluderar:
Granskning av existerande ICT-system: Säkerställ att riskhanteringsramverk och autentiseringsprotokoll uppfyller DORA:s krav.
Implementering av phishing-säker MFA: Skydda kritiska system med moderna, robusta lösningar.
Resilience testing: Genomför omfattande tester för att identifiera och åtgärda sårbara punkter i systemet.
Incidenthantering: Etablera och träna på effektiva rutiner för att hantera och rapportera incidenter.
Med dessa åtgärder kan svenska finansiella institutioner inte bara uppfylla de nya kraven utan också stärka sitt skydd mot framtida cyberhot. I en alltmer digital värld är DORA en påminnelse om vikten av robust cybersäkerhet för att skydda både verksamheter och samhällen.
