Vad är DORA?
DORA (Digital Operational Resilience Act) är en EU-förordning som syftar till att stärka den digitala motståndskraften inom finanssektorn. Medan NIS2-direktivet fokuserar på samhällsviktiga tjänster i bred bemärkelse, är DORA specifikt framtaget för banker, försäkringsbolag och deras kritiska IT-tjänsteleverantörer. Målet är att säkerställa att finansmarknaden kan motstå, reagera på och återhämta sig från alla typer av IT-relaterade störningar och hot.
Förordningen ställer strikta krav på fem huvudområden: riskhantering för IKT (informations- och kommunikationsteknik), incidentrapportering, testning av digital motståndskraft, hantering av tredjepartsrisker samt informationsutbyte. För företag innebär detta att det inte längre räcker med att ha ett bra tekniskt skydd; man måste även kunna bevisa att man har processer för att upprätthålla driften även under en pågående attack.
Behöver ni hjälp med att anpassa er IT-infrastruktur för att möta kraven i DORA? Vi erbjuder rådgivning och tekniska lösningar som säkerställer att ni uppfyller förordningens strikta krav på motståndskraft.
Kontakta oss för rådgivning!Vanliga frågor om DORA
Vilka organisationer omfattas av DORA-förordningen? DORA omfattar främst finansiella entiteter inom EU, såsom banker, kreditinstitut, värdepappersföretag och försäkringsbolag. Viktigt att notera är att även kritiska tredjepartsleverantörer av IT-tjänster, exempelvis molntjänstleverantörer och datacenter som servar finanssektorn, direkt omfattas av de nya kraven på säkerhet och rapportering.
Hur skiljer sig DORA från det mer välkända NIS2-direktivet? Den största skillnaden är att DORA är en förordning, vilket innebär att den gäller direkt i hela EU utan att behöva tolkas in i nationell lagstiftning, till skillnad från NIS2 som är ett direktiv. DORA fungerar som en speciallagstiftning för finanssektorn (Lex Specialis), vilket innebär att om kraven i DORA krockar med NIS2, så är det DORA som har företräde för finansiella bolag.