DORA betyder mere kontrol med Kryptovaluta transaktioner
I en finansielt drevet verden, hvor digitale systemer er livsnerven i pengeinstitutter, forsikringsselskaber og andre finansielle aktører, er robust cybersikkerhed en afgørende faktor. EU’s nye forordning om Digital Operational Resilience (DORA) sætter en skarp juridisk ramme for at sikre modstandskraften hos finansielle enheder. DORA er en EU lovpakke der også består af CRA, NIS2 og AI ACT der blev leaket her: AI ACT LEAK
Loven trådte i kraft den 16 Januar 2023 og skal virke senest den 17 Januar 2025.
Det betyder, at danske virksomheder, banker og finansinstitutioner skal overholde strengere krav til driftssikkerhed og IT-resiliens. Dermed bliver DORA et centralt værktøj i at forebygge finansielle chok og cyberangreb. Samtidig understøtter det en ensartet standard på tværs af EU, hvilket styrker Danmarks økonomiske stabilitet og tilliden til det digitale finansielle marked.
Hvad er DORA?
DORA, “Digital Operational Resilience Act”, er en EU-forordning, der sigter mod at forbedre den digitale modstandskraft i den finansielle sektor. Det skriver Europa-Kommissionen. Formålet er at sikre, at banker, forsikringsselskaber, investeringsfonde og andre finansielle aktører kan modstå, reagere på og komme sig hurtigt efter alvorlige forstyrrelser i deres IT-infrastruktur. DORA dækker alt fra it-styring, risikostyring, testning og rapportering af cyberhændelser til krav om robuste foranstaltninger, der forhindrer eller begrænser skaderne fra cyberangreb og driftsfejl.
Baggrunden for DORA og Dens Omfang
Indførelsen af DORA kommer i kølvandet på voksende cyberkriminalitet og komplekse digitale trusler, som skaber usikkerhed i den finansielle sektor. Det overordnede mål er at skabe fælles sikkerhedsstandarder i hele EU, så ingen medlemsstat står svagere end andre. DORA omfatter:
- Finansielle institutioner: Banker, forsikringsselskaber, pensionsfonde og investeringsselskaber
- Tredjeparts IT-leverandører: Cloud-udbydere, softwareleverandører og IT-serviceudbydere
- Interne processer og systemer: Alt fra interne datahåndteringssystemer til adgangskontrol og logning
Tabellen herunder giver et kort overblik over de aktører og områder, der er omfattet:
Område | Eksempler | Fokus på Overholdelse |
---|---|---|
Finansielle Institutioner | Banker, forsikringsselskaber, investeringsfonde | Vedvarende drift, robust IT-arkitektur, risikoovervågning |
Tredjepartsleverandører | Cloud-udbydere, IT-driftscentre, softwarefirmaer | Krav om løbende tests, rapportering, kontraktuelle forpligtelser |
Interne Systemer | Netværk, servere, datalagre, adgangskontrol | Grundig cybersikkerhedsstrategi, dokumentation, hændelseshåndtering |
DORAs Betydning for Danmark
Danmark er blandt Europas førende digitale økonomier, og den finansielle sektor er stærkt afhængig af velfungerende IT-infrastrukturer. Med DORA indføres mere ensartede krav til driftssikkerhed og cyberresiliens, hvilket kan øge tilliden til finansielle tjenester i Danmark og styrke konkurrenceevnen. Danske finansielle virksomheder vil skulle investere yderligere i sikkerhedsteknologi, træning af medarbejdere og regelmæssig testning af systemernes robusthed. Dette bidrager til at mindske risikoen for omfattende driftsforstyrrelser og cyberangreb på kritiske finansielle tjenesteydelser.
Overvågning og Sanktioner
For at sikre overholdelse af DORA’s krav vil nationale og europæiske tilsynsmyndigheder øge overvågningen af finansielle aktører. Myndighederne kan pålægge sanktioner, hvis kravene ikke efterleves. Dette inkluderer muligheden for at give bøder, påbud om at implementere særlige sikkerhedsforanstaltninger eller i værste fald begrænse adgangen til markedet. Derved understøttes DORA’s rolle i at skabe et højt og konsekvent sikkerhedsniveau på tværs af EU’s finanssektor.
Juridiske Referencer og Informationskilder
“Forordning (EU) 2022/2554 om digital operationel modstandsdygtighed for den finansielle sektor”
Kilde: https://eur-lex.europa.eu/eli/reg/2022/2554/oj
Kravene, efterlevelseskontrol og datoer
Med den nye EU-forordning om digital operationel modstandsdygtighed, DORA, bliver ikrafttrædelsen afgørende for, hvornår finansielle virksomheder og deres leverandører skal efterleve de nye regler. Tidspunktet for, hvornår bestemmelserne træder i kraft, er ikke blot en formalitet, men skaber en konkret tidsramme for, hvornår virksomhederne skal have implementeret de nødvendige sikkerhedsforanstaltninger. For danske aktører i finanssektoren betyder det, at planlægningen af complianceindsatsen skal tilpasses nøje efter ikrafttrædelsesdatoerne.
De nye krav skal ikke kun forstås, men også omsættes til praksis, inden fristerne udløber. Dermed sættes der en klar skillelinje mellem forberedelsesfasen og den faktiske efterlevelsesperiode.
DORAs Ikrafttræden og Tidslinje
Det skriver Europa-Kommissionen: DORA (“Forordning (EU) 2022/2554 om digital operationel modstandsdygtighed for den finansielle sektor”) trådte formelt i kraft den 16. januar 2023, 20 dage efter offentliggørelsen i EU-Tidende. Dog finder selve anvendelsen af de fleste bestemmelser først sted fra den 17. januar 2025, hvilket giver finansielle virksomheder og deres eksterne leverandører en overgangsperiode til at sikre fuld overensstemmelse. Denne overgangsperiode er afgørende for at kunne gennemføre de nødvendige tekniske, organisatoriske og juridiske tilpasninger.
Overgangsperiode og Implementeringsfasen
Der er som nævnt en overgangsperiode mellem den formelle ikrafttræden af DORA og den faktiske anvendelse af reglerne. Denne periode giver både danske og øvrige europæiske finansielle aktører mulighed for at:
- Kortlægge eksisterende IT-infrastruktur og processer i forhold til DORAs krav
- Indgå eller tilpasse kontrakter med tredjepartsleverandører af IT-løsninger
- Implementere nødvendige sikkerhedsforanstaltninger og testmetoder
- Sikre tilstrækkelig dokumentation og overholdelse af rapporteringskrav
- Uddanne medarbejdere i nye procedurer for it-sikkerhed og risikostyring
På denne måde fungerer overgangsperioden som en slags bufferzone, der mindsker risikoen for forstyrrelser i den finansielle sektor og sikrer, at aktørerne reelt har tid til at efterleve DORAs krav.
Tidslinje for DORA
Milepæl | Dato | Formål |
---|---|---|
Offentliggørelse i EU-Tidende | 27. december 2022 | Formel bekendtgørelse af DORA |
Ikrafttrædelse | 16. januar 2023 | DORA træder i kraft 20 dage efter offentliggørelsen |
Anvendelsesdato for hovedbestemmelser | 17. januar 2025 | Finansielle aktører skal være i fuld overensstemmelse |
Betydningen for Danmark
For danske finansielle virksomheder og forsikringsselskaber betyder disse datoer, at strategisk planlægning er afgørende. De skal sikre, at de ved ikrafttrædelsesdatoerne har de processer og systemer på plads, der muliggør compliance. Manglende overholdelse kan medføre sanktioner fra tilsynsmyndighederne. Med andre ord giver ikrafttrædelsen en klar skæringsdato for, hvornår det forberedende arbejde skal være afsluttet, og hvornår den nye standard for driftsrobusthed skal være hverdag i den danske finansielle sektor.
Juridiske Referencer og Informationskilder
Kilde: https://eur-lex.europa.eu/eli/reg/2022/2554/oj
Kravene, efterlevelseskontrol og datoer
Med den nye EU-forordning om digital operationel modstandsdygtighed, DORA, bliver ikrafttrædelsen afgørende for, hvornår finansielle virksomheder og deres leverandører skal efterleve de nye regler. Tidspunktet for, hvornår bestemmelserne træder i kraft, er ikke blot en formalitet, men skaber en konkret tidsramme for, hvornår virksomhederne skal have implementeret de nødvendige sikkerhedsforanstaltninger. For danske aktører i finanssektoren betyder det, at planlægningen af complianceindsatsen skal tilpasses nøje efter ikrafttrædelsesdatoerne.
De nye krav skal ikke kun forstås, men også omsættes til praksis, inden fristerne udløber. Dermed sættes der en klar skillelinje mellem forberedelsesfasen og den faktiske efterlevelsesperiode.
DORA’s Ikrafttrædelse og Tidslinje
Det skriver Europa-Kommissionen: DORA (“Forordning (EU) 2022/2554 om digital operationel modstandsdygtighed for den finansielle sektor”) trådte formelt i kraft den 16. januar 2023, 20 dage efter offentliggørelsen i EU-Tidende. Dog finder selve anvendelsen af de fleste bestemmelser først sted fra den 17. januar 2025, hvilket giver finansielle virksomheder og deres eksterne leverandører en overgangsperiode til at sikre fuld overensstemmelse. Denne overgangsperiode er afgørende for at kunne gennemføre de nødvendige tekniske, organisatoriske og juridiske tilpasninger.
Overgangsperiode og Implementeringsfasen
Der er som nævnt en overgangsperiode mellem den formelle ikrafttræden af DORA og den faktiske anvendelse af reglerne. Denne periode giver både danske og øvrige europæiske finansielle aktører mulighed for at:
- Kortlægge eksisterende IT-infrastruktur og processer i forhold til DORAs krav
- Indgå eller tilpasse kontrakter med tredjepartsleverandører af IT-løsninger
- Implementere nødvendige sikkerhedsforanstaltninger og testmetoder
- Sikre tilstrækkelig dokumentation og overholdelse af rapporteringskrav
- Uddanne medarbejdere i nye procedurer for it-sikkerhed og risikostyring
På denne måde fungerer overgangsperioden som en slags bufferzone, der mindsker risikoen for forstyrrelser i den finansielle sektor og sikrer, at aktørerne reelt har tid til at efterleve DORAs krav.
Tidslinje for DORA
Milepæl | Dato | Formål |
---|---|---|
Offentliggørelse i EU-Tidende | 27. december 2022 | Formel bekendtgørelse af DORA |
Ikrafttrædelse | 16. januar 2023 | DORA træder i kraft 20 dage efter offentliggørelsen |
Anvendelsesdato for hovedbestemmelser | 17. januar 2025 | Finansielle aktører skal være i fuld overensstemmelse |
Betydningen for Danmark
For danske finansielle virksomheder og forsikringsselskaber betyder disse datoer, at strategisk planlægning er afgørende. De skal sikre, at de ved ikrafttrædelsesdatoerne har de processer og systemer på plads, der muliggør compliance. Manglende overholdelse kan medføre sanktioner fra tilsynsmyndighederne. Med andre ord giver ikrafttrædelsen en klar skæringsdato for, hvornår det forberedende arbejde skal være afsluttet, og hvornår den nye standard for driftsrobusthed skal være hverdag i den danske finansielle sektor.
Kilde: Advokat og Revisor Samvirket, AORS.DK
Fotokredit: stock.adobe.com
Personer/Firmaer/Emner/#: #DORA, #EU, #Cybersikkerhed, #Finanssektoren
Ⓒ 2024 Copyright by https://AORS.DK – kan deles ved aktivt link til denne artikel.