DORA - Ny EU-reglering

Är ni leverantör till organisationer inom finansiell verksamhet? Den nya EU-regleringen DORA (Digital Operational Resilience Act) ställer höga krav på leverantörer av IKT-tjänster (Informations- och KommunikationsTjänster). För att fortsätta leverera era tjänster till finansiella kunder måste ni förstå DORA, hur det påverkar deras verksamhet och vilka konsekvenser det får för er som leverantör. Vår specialist inom informationssäkerhet, Maja Fröjdh, guidar er genom vad ni behöver veta och hur ni kan förbereda er inför den nya regleringen.

DORA är ett EU-regelverk, Digital Operational Resilience Act, som börjar gälla fr.o.m. 17 januari 2025. Regelverket omfattar alla företag och organisationer inom all typ av finansiell verksamhet inom EU.

DORA ställer strikta krav på förmåga att stå emot cyberhot och upprätthålla verksamheten vid cyberincidenter. Ett område som behandlas i regleringen är hantering av tredjepartsrisker och därmed påverkas även du som leverantör i allra högsta grad.

En proaktiv leverantör och partner är väl insatta i och förberedda på utmaningar och nya behov som kunderna står inför redan innan de knackar på dörren. Dels för att kunna stötta och hjälpa dem i deras förändringsarbete, men även för att på sikt förbli relevant som leverantör.

DORA:s långtgående och i stora delar detaljerade krav kan innebära behov av större förändringar i verksamheten som tar tid att implementera och det är därför viktigt med god framförhållning för att vara redo inför de nya lagkraven som börjar gälla i januari 2025.

Kraven omfattar säkerställande av motståndskraft mot IKT-risker i hela leveranskedjan. Som leverantör är ni en del av denna och samma krav på riskhantering som krävs för kunden ställs även på er som leverantör.

Er kund står med det fulla ansvaret för efterlevnad av DORA och kommer därmed att ställa krav på er som leverantör att leva upp till regelverket.

Dessutom inkluderar DORA också ett antal specifika krav avseende IKT-leverantörer till företag och organisationer som omfattas av regleringen.

Dessa styrs genom obligatoriska klausuler i avtalet med IKT-leverantören. Några exempel är information om underentreprenad, geografisk hemvist för leveransen och detaljerade krav på SLA-nivåer. Leverantören ska assistera vid incidenter och fullt ut samarbeta med tillsynsmyndigheter som även ska medverka vid hotbildsstyrd penetrationstestning.

En entitet som omfattas av DORA måste försäkra sig om att den inte gör sig beroende av sina leverantörer.  Det måste vara möjligt att utan avbrott i leveransen kunna byta ut en leverantör liksom det finns krav avseende ”multivendorstrategi”.

Kunden måste vid leverantörsutvärdering värdera risk för underentreprenad, inlåsning hos leverantör som är svårutbytbar samt även värdera risk med att bli alltför beroende av enskilda leverantörer. För er som leverantör kan ovanstående krav innebära begränsningar, men samtidigt även nya möjligheter.

Leverantörer som ligger i framkant avseende den nya EU-regleringen kommer att ha fördelar jämfört med de som är mer saktfärdiga. Därför bör ni som leverantör redan nu sätta er in i hur ni påverkas av regleringen och vilka förändringar som ni kan tänkas behöva genomföra.

En bra början är att genomföra en riskanalys för att få en heltäckande bild av er IKT-risk i relation till er leverans till kunden om ni inte redan gjort det. Det är ett direkt krav och dessutom ett utmärkt sätt att få en bild av era utmaningar. Med denna som grund kan ni identifiera åtgärder ni måste vidta för att nå en acceptabel risknivå.

Kontakta Maja Fröjdh om du vill prata mer om DORA.