Fokus på cybersäkerhet – ny lag för digital motståndskraft är på plats
– Det här är riktigt omfattande lagstiftning och klockan tickar, så det är verkligen dags att börja jobba, säger Anna Weissmann, chef för finansiella tjänster på Accenture Sverige.
Extern länk: Läs hela rapporten: DORA – Minimizing Cyber Risks for Financial Services
Cyberbrottsligheten ökar, och visar dessutom en enorm innovationskraft. Ofta riktas attackerna mot den finansiella sektorn, och för att säkra att branschen verkligen tar säkerhetsfrågorna på allvar införde EU i januari en ny och omfattande lagstiftning: the Digital Operational Resilience Act, förkortad DORA.
– Den finansiella sektorn är otroligt sårbar för cyberattacker eftersom det är så mycket inom den som är digitalt idag. Finanssektorn är dessutom samhällsbärande. Därför är det viktigt för EU att säkra branschens digitala motståndskraft och det gör man med DORA, förklarar Anna Weissmann.
Lagen trädde i kraft den 16 januari 2023 och nu har företagen som omfattas två år på sig att ställa om organisation, processer och säkerhetssystem.
Anna Weissmann, chef för finansiella tjänster på Accenture Sverige.
– Den 17 januari 2025 när lagen kommer att börja följas upp, kan företag åka på dryga sanktionsavgifter om de inte uppfyller kraven. Klockan har börjat ticka, det är omfattande förändringar som krävs och det finns absolut ingen tid att vänta och se. Det är dags att agera nu!
”Företag kommer att bli skyldiga att testa säkerheten i sina system, och man kommer att behöva kunna visa hur och vilka uppföljningar man har gjort”
– Anna Weissmann
Vad är det då som behöver göras? Accenture har sammanfattat lagen i fem stora områden.
– Det första handlar om styrning och riskhantering. DORA fastslår att ledningen i bolaget är ansvarig för att känna till cyberhot och att ha en strategi för sin motståndskraft.
Det innebär att företagsledningar nu måste förstå var i verksamheten det finns risker för attacker.
– Man behöver ta på sig DORA-glasögonen och se över hela sin affär, och det kommer att bli mycket kartläggning och processarbete.
För det andra kommer DORA att förändra reglerna kring rapportering och klassificering av cyberattacker.
– Företag blir skyldiga att underrätta myndigheterna när de blir utsatta för attacker. I Sverige blir Finansinspektionen tillsynsmyndighet, men EU har dessutom för avsikt att skapa en gemensam hubb dit de här händelserna ska rapporteras. Det finns ett stort värde av att attackerna inte sopas under mattan utan att hela sektorn kan lära av det som sker.
Den tredje faktorn är att se över företagets testverksamhet.
– Företag kommer att bli skyldiga att testa säkerheten i sina system, och man kommer att behöva kunna visa hur och vilka uppföljningar man har gjort.
En nyhet i DORA är att lagen inte bara inkluderar de företag som direkt verkar på finansmarknaden.
– Alla regler i DORA omfattar även tredjepartsleverantörer för kritiska komponenter, till exempel mjukvarubolag och molntjänstleverantörer. De har inte stått under den här regleringen tidigare, men nu måste de tillsammans med sina kunder i finansbranschen testa allt, hela vägen ut i molnet.
Även den fjärde aspekten av DORA rör kontakten mellan den finansiella sektorn och dess leverantörer.
– Alla avtal och villkor behöver uppdateras för att omfatta även cybersäkerhet och motståndskraft. Dessutom behöver man börja fundera på om det finns en koncentrationsrisk. En viktig komponent i DORA är den tid man har på sig för återställning och återhämtning om något händer, och då får man ju som företag fundera på hur sårbar man blir om man bara har en enda leverantör?
Den resiliens som flera leverantörer innebär kan emellertid bli en kostnadsfråga.
– Inköpsavdelningarna kommer att få en hel del att fundera på de här två åren. Det är klart att det kostar mer att ha flera leverantörer, inte minst för att vissa skalfördelar försvinner, men samtidigt måste man fundera över kostnaden det innebär att ligga nere efter en attack.
Redan idag kostar incidenthanteringen för företag inom EU flera hundra miljoner kronor per år, så det finns stora summor att spara genom att höja säkerheten och på så sätt minska antalet incidenter.
– Om jag vore ansvarig för it-säkerhetsfrågor i en organisation som omfattas av DORA skulle jag jubla, för tack vare DORA kommer man nu att få ledningens öra och budget för sådana säkerhetsuppdateringar som ändå hade behövts.
Den femte delen som krävs för att leva upp till DORAs regelverk gäller kringrapportering och tillsyn. Skyldigheten att rapportera incidenter och att ha ett informationsutbyte ökar nämligen i och med DORA.
– Även om bankerna är konkurrenter ska de nu dela den här typen av information med varandra. Det här tycker jag att svenska banker redan är bra på, och här finns pengar att spara när man gemensamt kan ta fram lösningar som alla kan ha nytta av.
Många av de regler som ingår i DORA finns redan idag, men det som blir nytt är att regelverket skärps, att det harmoniseras över hela EU, och att det omfattar även underleverantörer.
– Just harmoniseringen kan faktiskt vara en hjälp för de företag som opererar inom hela EU och idag måste anpassa sig till en hel rad olika regelverk. Men det är också mycket som är nytt, så det gäller att sätta igång att förbereda sig, och att göra det nu, säger Anna Weissmann.
Extern länk: Läs hela rapporten: DORA – Minimizing Cyber Risks for Financial Services
Fakta: DORA i korthet
Vad står DORA för?
DORA är en förkortning av the Digital Operations Resilience Act.
Vad är målet med DORA?
Att etablera ett harmoniserat regelverk för digital motståndskraft på europeisk nivå.
Vilka företag omfattas av DORA?
Alla företag som verkar på finansmarknaden, till exempel banker, försäkringsbolag och andra kreditgivare, samt deras tredjeparts-leverantörer.
När träder DORA i kraft?
DORA blev lag i alla medlemsländer januari 2023, men företagen har två år på sig efter ikraftträdandet att se till att de uppfyller kraven.
Alla artiklar från Accenture
Ny rapport visar: Tre steg konsumentproduktföretag behöver ta för att klara digitaliseringen
Fokus på cybersäkerhet – ny lag för digital motståndskraft är på plats
“Vi befinner oss i en permakris” – så kan företag förbli relevanta
Alla rusar till Generativ AI – så hittar du konkurrensfördelarna i trängseln