Digital operasjonell motstandsdyktighet for finanssektoren (DORA)

Formål: Formålet med DORA er å sikre finanssektorens motstandsdyktighet mot operasjonelle forstyrrelser. Den etablerer enhetlige krav som finansielle enheter må overholde med hensyn til sikkerheten til nettverk- og informasjonssystemer.

Omfang: DORA gjelder for et bredt spekter av finansielle enheter, fra tradisjonelle institusjoner som banker, forsikringsselskaper, investeringsselskaper og kredittinstitusjoner, til ikke-tradisjonelle enheter som tilbydere av kryptovalutatjenester og crowdfunding-plattformer. Den strekker seg også til tredjeparts tjenesteleverandører som leverer informasjons- og kommunikasjonsteknologi (IKT)-systemer og -tjenester til disse finansinstitusjonene. Som et resultat kan for eksempel skytjenesteleverandører også være nødt til å overholde kravene som stilles i DORA.

Viktige forpliktelser: DORA etablerer krav innenfor fire hovedkategorier: IKT-risikohåndtering og -risikostyring, respons på og rapportering av hendelser, motstandsdyktighetstesting og risikostyring av tredjeparter. For eksempel kreves det at enhetene som omfattes av DORA implementerer mekanismer som effektivt oppdager unormale aktiviteter, klassifiserer IKT-relaterte hendelser, og rapporterer store IKT-relaterte hendelser til den relevante kompetente myndigheten. Finansielle enheter må implementere disse kravene på en måte som blant annet er proporsjonal sett i lys av deres størrelse, risikoprofil og arten av tjenestene de tilbyr.