Tillsynsmeddelande 3.11.2023 – 62/2023

Förordningen om digital operativ motståndskraft för finanssektorn

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2020/0266 om digital operativ motståndskraft för finanssektorn (Digital Operational Resiliency Act – DORA) trädde i kraft den 17 januari 2023 och den tillämpas från och med den 17 januari 2025. I de europeiska finansmarknadsmyndigheternas arbetsgrupper bereds en reglering på lägre nivå (tekniska standarder) för att komplettera förordningen, som beräknas vara klar i juni 2024.

Förordningen gäller alla Finansinspektionens tillsynsobjekt, förutom arbetspensionsbolagen (Finlands arbetspensionssystem står utanför EU:s lagstiftning). Förordningen innehåller krav, men vilka man strävar efter att förbättra finanssektorns förmåga att tåla fel och störningar i informationssystemen inom hela EU.  Förordningen tillämpas med iakttagande av proportionalitets­prin­cipen, vilket innebär att de skyldigheter som ställs i förordningen står i proportion till den finansiella enhetens storlek och andra förhållanden. Som en följd av proportionalitetsprincipen tillämpas till exempel lindrigare krav på mikroföretag. Proportionalitetsprincipen kommer också att beaktas i de tekniska standarderna.

De åtgärder som krävs i förordningen motsvarar i stor utsträckning de krav som redan nu förutsätts av tillsynsobjekten i lagstiftningen och i Finansinspektionens föreskrifter och anvisningar samt i de europeiska finansmarknadsmyndigheternas anvisningar. Förordningen innehåller emellertid några enskilda nya krav och det är viktigt att tillsynsobjekten tar del av förordningen och gör nödvändiga ändringar i sina interna anvisningar och förfaranden. Det lönar sig att ta del av förordningen i god tid innan den börjar tillämpas. När den kompletterande regleringen på lägre nivå är klar ska tillsynsobjekten även i tillämpliga delar ta del av de tekniska standarderna. Finansinspektionen föreskrifter och anvisningar uppdateras att motsvara förordningen när de tekniska standarderna blir klara på sommaren 2024.

Bestämmelserna om organiseringen av ICT-riskhanteringen är delvis mer detaljerade än tidigare och det finns också vissa nya krav. I praktiken motsvarar till exempel bankernas nuvarande förfaranden i stor grad de nya kraven eller kan till och med uppfylla dem, men hos många mindre tillsynsobjekt krävs större ändringar i de interna anvisningarna och förfarandena.

Innehållet i rapporteringen om ICT-relaterade incidenter och rapporteringens tröskelvärden ändras jämfört med gällande praxis. I praktiken kommer den information om ICT-relaterade incidenter som förutsätts i rapporteringen att öka något från de nuvarande.

Kraven på informationssäkerhetstest är mer detaljerade än för närvarande. För systemviktiga tillsynsobjekt (i praktiken banker, börsen, värdepapperscentralen, stora försäkringsbolag) införs ett nytt krav på hotstyrd informationssäkerhetstestning, vilken de flesta av dem i praktiken redan genomfört eller planerat enligt TIBER-FI-testningsschemat.

Kraven på hanteringen av utlagda ICT-verksamheter och utkontrakteringsavtal förenhetligas. I praktiken ska tillsynsobjekten lämna in något mer detaljerad information än tidigare om viktiga utkontrakteringar. För varje företag som tillhandahåller ICT-tjänster för den kritiska finanssektorn i EU-länderna inrättas en egen tillsynsram och varje kritisk tjänsteleverantör får en egen huvudsaklig tillsynsmyndighet, som är någon av de tre europeiska finansmarknadsmyndigheterna (EBA, ESMA eller EIOPA).

Förordningen möjliggör frivilliga arrangemang för informationsutbyte om cyberhot mellan tillsynsobjekten och underrättelse om cyberhot till tillsynsmyndigheten. I Finland har man redan ett sådant informations­utbyte i den samarbetsgrupp som leds av Cybersäkerhetscentret. Även tillsynsmyndigheten har under­rättats om observerade cyberhot.

Närmare upplysningar lämnas av

Pasi Korhonen, ledande specialist, tfn 09 183 5514 eller pasi.korhonen(at)fiva.fi

Bilaga

Förordning (EU) 2022/2554 om digital operativ motståndskraft för finanssektorn