Europeiska kommissionen antog den 24 september 2020 ett nytt paket om digital finansiering, inklusive en strategi för massbetalningar och lagstiftningsförslag om kryptotillgångar och digital motståndskraft. Paketet är omfattande och innehåller ett viktigt förslag till ny förordning om digital operativ motståndskraft (eng. DORA) som syftar till att se till att alla deltagare i det finansiella systemet har vidtagit de skyddsåtgärder som krävs för att motverka cyberattacker och andra risker. Förslaget ska nu förhandlas av medlemsstaterna.
TIME DANOWSKY har gått igenom förslaget till förordning och noterar nyheter som kommer att påverka i stort sett alla företag som verkar på den finansiella marknaden och dess ICT leverantörer.
Förslaget till ”Förordningen” hittar ni här.
Om ni har frågor om Förordningen ”DORA” vänligen kontakta Mats Ohlén, partner på TIME DANOWSKY.
- Förordningens breda tillämpningsområde är en nyhet. En lång rad av företag som inte tidigare varit föremål för särskild ICT reglering (Information and Communications Technology) blir det nu enligt kommissionens förslag. Exempelvis banker och andra kreditinstitut har redan tidigare sett liknande regleringar och får antas ha hög anpassningsförmåga. Frågan är hur övriga aktörer kommer att ta emot Förordningens nya krav. Följande finansiella företag omfattas av Förordningen (med vissa smärre undantag): “credit institutions, payment institutions, electronic money institutions, investment firms, crypto-asset service providers, central securities depositories, central counterparties, trading venues, trade repositories, managers of alternative investment funds and management companies, data reporting service providers, insurance and reinsurance undertakings, insurance intermediaries, reinsurance intermediaries and ancillary insurance intermediaries, institutions for occupational retirement pensions, credit rating agencies, statutory auditors and audit firms, administrators of critical benchmarks and crowdfunding service providers.
- Förordningen innehåller inledningsvis krav på internkontroll och organisation för en eftertänksam och effektiv hantering av ICT risker. Kraven känns igen från andra motsvarande regleringar inom den finansiella sektorn men kan vara en nyhet för de företag som numera hamnar inom Förordningens breda tillämpningsområde.
- Finansiella företag ska ha robusta funktioner för så kallad ICT risk management. Syftet är att skapa motståndskraft genom att identifiera, motarbeta och hantera ICT risker och minska dess potentiella påverkan för verksamheten. Förslaget innehåller detaljerade krav på hur dessa system ska byggas upp och vidmakthållas.
- Finansiella företagens så kallade incident management processer gäller alla ICT incidenter och processerna ska uppfylla särskilda krav. Samtliga ICT incidenter ska bland annat klassificeras och följas upp. Vidare kommer de europeiska tillsynsmyndigheterna att definiera så kallade ”major ICT-related Incidents” för vilka det gäller särskilda och mer strikta rapporterings- och hanteringskrav. Finansiella företagen ska bland annat rapportera major ICT-related Incidents till tillsynsmyndigheten enligt strikta tidsfrister. Om en ”major ICT-related Incident” påverkar dess kunders eller andra tjänstemottagares finansiella intressen ska det finansiella företaget informera även dessa om incidenten och om vilka åtgärder som vidtagits för att undvika negativa effekter.
- Förordningen inför generella regler om årliga grundliga tester av ICT system och särskilda penetrationstester var tredje år. Man inför även krav på de som utför testerna och särskilda krav om man väljer att anlita externa företag för att utföra tester.
- Förordningen adresserar hur finansiella företag ska hantera ICT risker i samband med ICT leveranser från tredje part. Bland kraven ingår riskanalys av leveranserna och att föra ett register över vilka leveranser man valt att lägga ut externt. Vidare ska det finansiella företaget minst årligen rapportera till tillsynsmyndigheten om innehållet i dessa leveranser och förändringar i registret. Minimikrav på hur kontrakten ska utformas och dess innehåll utgör en betydande del av detta avsnitt, men även hur beroenden och risker i samband med val av leverantör ska bedömas och därefter följas upp under kontraktstiden samt hur kontraktets upphörande ska hanteras. Delar av dessa regler känner man igen från tidigare regelverk inom den finansiella sektorn men eftersom denna förordning kommer att få ett bredare tillämpningsområde får de antas få en vidsträckt effekt för den finansiella ICT branschen i allmänhet.
- En nyhet i Förordningen är att så kallade kritiska ICT leverantörer ska identifieras av de europeiska tillsynsmyndigheterna utifrån bland annat potentiell systempåverkan och faktisk utbytbarhet vid större leveransavbrott. De europeiska tillsynsmyndigheterna ska årligen upprätta en förteckning över dessa leverantörer på EU-nivå. En punkt värd att notera är att finansiella företag inte får lov att anlita leverantörer i tredje land om leverantören skulle betraktas som en kritisk ICT leverantör om den var etablerad inom EU. Den exakta innebörden av den senare punkten väcker vissa frågor och kommissionen får säkert anledning att återkomma med förtydliganden, bland annat om den påverkar nyttjandet av vissa välkända globala IT-leverantörers tjänster. EU kommer att etablera ett ambitiöst rapporterings och tillsynssystem av kritiska ICT leverantörer som om det inte efterlevs bland annat innehåller betydande sanktionsavgifter och en rätt att förelägga finansiella företag att temporärt eller helt upphöra med att använda den kritiska ICT leverantörens tjänster.
- En annan nyhet är att Förordningen öppnar upp för att finansiella företag ska under ordnade former kunna etablera informationssamarbeten om cyberhot och säkerhet med eller utan medverkan av myndigheter. Medlemskap i sådana samarbeten ska dock anmälas till tillsynsmyndigheten.
