Idag, den 17 januari 2025, träder en ny EU-förordning i kraft!

Digital Operational Resilience Act, mer känd som DORA, är en EU-förordning som syftar till att stärka den digitala operativa motståndskraften inom finanssektorn. DORA började gälla i början på 2023 men från och med idag ska finansiella företag efterleva det nya regelverket.

DORA konsoliderar och uppgraderar kraven på hantering av risker med IKT-tjänster (tjänster avseende informations- och kommunikationsteknik), så som exempelvis molntjänster, nätverkstjänster, IT-support och helpdesk samt kommunikationstjänster. Förordningen gäller för finansiella entiteter, till exempel banker, försäkringsbolag, kreditinstitut och vissa handelsplatser. Även om bolag som tillhandahåller IKT-tjänster egentligen inte omfattas av lagstiftningen, är det viktigt att dessa företag har koll på de höga krav som de ska efterleva när de ingår avtal med ett finansiellt institut som omfattas av DORA.

DORA ställer höga krav på IKT-riskhantering, löpande tester av verksamhetens digitala sårbarhet och motståndskraft, rapportering av IKT-incidenter, riskhantering av sin leverantör av IKT-tjänster samt informationsdelning. Därtill krävs att avtal mellan finansiellt institut och leverantör av IKT-tjänster anpassas efter de krav som DORA uppställer, däribland krav på exitstrategi, tydlig fördelning av rättigheter och skyldigheter samt specifika klausuler som bland annat ska reglera servicenivå och incidenthantering.

Har du frågor om DORA? Kontakta då Sabrina Curan på sc@vici.se eller 010-209 12 69.