Secify.com

DORA-förordningen

27 september, 2022
Uppdaterad: 19 november, 2024
Uppskattad lästid: 8 min

Uppdateringar:

  • Den 27 december 2022 publicerades den slutliga texten i EU:s officiella tidning som ”Regulation (EU) 2022/2554”. Förordningen börjar gälla den 25 januari 2025.
  • Den 28 november antogs DORA-förordningen formellt av Europeiska rådet, vilket är det sista steget i lagstiftningsprocessen. Nu ska varje medlemsland implementera DORA-förordningen i deras lands lagstiftning.

Introduktion

Vad är DORA?

DORA-förordningen (Digital Operational Resilience Act) börjar gälla i januari 2025 och kommer att påverka finanssektorn inom hela EU. Den är framtagen för att stärka cybersäkerheten och skapa enhetliga standarder för hantering av IKT-risker. Om din verksamhet omfattas av DORA innebär det att ni är skyldiga att hantera cyberhot och digitala utmaningar på ett strukturerat och enhetligt sätt, i linje med de krav som ställs för att stärka motståndskraften mot IKT-relaterade risker.

Krav

Med DORA införs tydliga och standardiserade krav för att effektivt hantera IKT-risker inom finanssektorn. Kraven omfattar allt från incidenthantering till
regelbunden rapportering av säkerhetshändelser, vilket stärker företagens förmåga att motstå digitala hot.

Förslaget till DORA-förordningen innehåller 73 punkter och är indelad i 9 kapitel bestående av 56 artiklar. Nedan följer några av förordningens huvudkrav:

Bestämmelser om IKT-riskhantering:

Ramverk måste finnas för att identifiera och hantera cyberrisker genom att snabbt upptäcka och åtgärda avvikelser i systemen. Effektiva rutiner ska finnas för att minimera skador vid intrång och andra försök till påverkan

Testning:

Regelbundna IKT-tester av kritiska system, som exempelvis penetrationstester, är ett krav för att säkerställa en hög digital säkerhet. Genom att anlita externa säkerhetsspecialister kan företag inom finanssektorn tidigt identifiera sårbarheter och stärka sitt skydd mot cyberhot.

Hantering:

Då IKT-tjänster från tredjepartsleverantörer kan innebära risker, kräver DORA att företag har strikta avtal och utför regelbundna kontroller. Riskbedömningar ska utföras för att minimera potentiella hot från externa aktörer.

När träder DORA i kraft?

DORA-förordningen kommer att träda i kraft januari 2025, vilket innebär att alla medlemsstater i EU måste ha införlivat kraven i DORA i sin nationella lagstiftning till det datumet. Dessa krav kommer att beröra områden som cybersäkerhet, styrning och riskhantering, incidentrapportering, testning och kontinuitetsplanering, bland annat. Syftet med dessa krav är att säkerställa att finansiella institutioner är tillräckligt rustade för att hantera potentiella cyberhot och andra IT-relaterade risker.

Omfattning

DORA gäller för finanssektorn inom hela EU, inklusive företag som erbjuder revisionstjänster, banktjänster, försäkringar och värdepapperstjänster. Förordningen omfattar även leverantörer av IKT-tjänster som används av finanssektorn. DORA kommer till exempel att gälla för organisationer som tillhandahåller:

  • Revisionstjänster
  • Försäkringstjänster
  • Bank- och finanstjänster
  • Leverantör av kryptotjänster
  • Värdepapperstjänster
  • Tredjepartsleverantörer för IKT-tjänster

Anlita Secify

Secify hjälper din organisation att implementera DORA krav och säkerställa att ni är redo när förordningen träder i kraft. Vi erbjuder expertkunskap och vägledning inom cybersäkerhet, IKT-riskhantering och incidenthantering för finansbranschen. Kontakta oss för att se hur vi kan stärka ert digitala skydd.

Vad är tidsspannet?

2025 kan kännas avlägset men de branscher som omfattas av lagstiftningen bör redan nu se till att:

  1. Skaffa kunskap om innehållet i förordningen, och
  2. Identifiera nödvändiga åtgärder för er

Har ni frågor och funderingar kring DORA? Tveka inte att kontakta oss!

2024-11-19T18:59:07+01:00
Lena Graungaard Lindahl

Skrivet av: Lena Graungaard Lindahl

Jag arbetar som rådgivare och konsult inom informationssäkerhet och arbetar främst med att hjälpa företag att implementera systematiska och riskbaserade metoder för informationssäkerhet, baserade på ISO 27001-standarden. Jag stödjer också företag i att efterleva NIS2-direktivet och DORA-förordningen genom att genomföra risk- och sårbarhetsanalyser, hantera incidenter och avvikelser, granska leverantörer och genomföra utbildningar inom informationssäkerhet. Kontinuitets- och katastrofplanering samt internrevisioner är någonting som jag är extra bra på. Utöver min roll som rådgivare arbetar jag även som Chief Information Security Officer (CISO) på Secify by Sweden och arbetar med vår egen ISO27001 certifiering.

Jag har en masterexamen i data- och systemvetenskap med inriktning på informationssäkerhet från Stockholms universitet och har eerfarenhet från både privata, statliga och kommunala organisationer samt internationell arbetslivserfarenhet.

Jag trivs i mötet med nya människor och har en stark serviceinriktning. Min kommunikationsstil präglas av tydlighet och anpassning till kundens behov och förutsättningar.

Lena Graungaard Lindahls senaste inlägg

NYHETSBREV

Konsulttjänster

Säkerhetstester

Managerade tjänster

Intelligens

Secify

Secify logo vit

Secify erbjuder rådgivning och säkerhetslösningar inom cybersäkerhet, informationssäkerhet och dataskydd. Vi som arbetar här har lång erfarenhet och djupa kunskaper inom vårt område. Tillsammans kan vi leverera heltäckande lösningar för att skydda dina anställda och din verksamhet.

Jönköping (huvudkontor)
Östra Storgatan 28c, 553 21 Jönköping

Stockholm
Warfvinges väg 45, 112 51 Stockholm

Halmstad
Tre Hjärtans väg 2, 302 41 Halmstad

Växjö
Storgatan 82A, 352 27, Växjö

Cirklar secifyprofil dekoration
Cookiepolicy

Orgnr: 559078-8062 | 020-66 99 00 | Kontakta oss

Till toppen