Den 11 maj 2022 nådde Europeiska unionen (EU) en provisorisk överenskommelse om den nya Digital Operational Resilience Act (DORA). Trots fraseringen finns det inget "provisoriskt" med DORA. Faktum är att en av världens mest långtgående cybersäkerhetsbestämmelser för finansiella tjänster och deras försörjningskedjor är mestadels en färdig affär.
Allt som återstår innan det formella antagandet, som förväntas någon gång i oktober, innebär i första hand en handfull tekniska ändringar och översättning till de 24 officiella språken i EU:s medlemsländer.
DORA representerar EU:s svar på det ständigt ökande antalet cyberattacker mot finansiella institutioner. Den är utformad för att stärka säkerheten för EU:s finansiella företag, såsom banker, försäkringsbolag, värdepappersföretag med flera, genom att införa krav på motståndskraft och reglera leveranskedjan. Men, som jag noterade i en tidigare inläggDORAs grundsatser sträcker sig långt utanför EU och dess finansiella sektor.
DORA:s enhetliga krav på säkerhet för nätverk och informationssystem omfattar inte bara företag inom finanssektorn utan även kritiska tredjepartsleverantörer som tillhandahåller informations- och kommunikationsteknikrelaterade tjänster till finanssektorn, såsom molnplattformar och dataanalys.
DORA:s räckvidd sträcker sig faktiskt till i princip alla företag som erbjuder tjänster inom informations- och kommunikationsteknik (IKT) som anses vara avgörande för den försörjningskedja som stödjer den europeiska finanssektorn – oavsett om företaget eller tjänsten är baserad inom EU eller inte. Under DORA anses komplexiteten i försörjningskedjan eller avsaknaden av EU-närvaro båda riskfaktorer.
Mandat nya regleringsperspektiv
DORA är unik genom att den ger en ny och annorlunda nivå av regulatorisk granskning till en mängd olika globala företag. DORAs krav mandat — inte bara föreslå — efterlevnad av dess bestämmelser. Lika viktigt är att effekterna av denna nya nivå av regulatorisk granskning skiljer sig beroende på företagets synvinkel.
Finansiella institutioner som är vana vid en regelverk som främst är utformad för att bedöma finansiell risk och stabilitet kommer nu att behöva ta den potentiella risken som deras IKT-verksamhet utgör på lika stort allvar. Finansiella institutioner är vana att hantera risker i form av kapitalkrav. DORA tar ett annat förhållningssätt genom att kräva specifika beteende- och prestationsbaserade krav. Ur finansiella institutioners synvinkel har denna riskhöjning konsekvenser över flera aspekter av deras verksamhet, såsom hur de konsumerar teknik och hur de omvandlar sin verksamhet genom att övergå till ny teknik som molnberäkning. Detta inkluderar övergripande riskhanteringsstrategier och kapaciteter, säkerhet i försörjningskedjan och organisationspersonal och policyer för att säkerställa korrekt IKT-riskbedömning och efterlevnad.
DORA förändrar också ICT-organisationernas regleringsperspektiv. Hittills har de främst reglerats på datarelaterade frågor, såsom datasekretess och meddelanden om dataintrång, baserat på oro för personuppgifter och politiska mål som digital suveränitet. Banbrytande regler, såsom General Data Protection Regulation (GDPR) i Europa, och den nyare California Consumer Privacy Act (CCPA) i USA, kommer att tänka på.
IKT-organisationer kan också ha andra regulatoriska skyldigheter när det gäller säkerhet, eller har klassificerats som kritisk infrastruktur, beroende på var de är belägna, t.ex. Nätverks- och informationssäkerhetsdirektivet (NIS) i Europa, den Cybersecurity Act 2018 i Singapore, eller sektorsspecifik lagstiftning för specialiserade industrier, såsom telekom i USA.
Nu, om IKT-företag servar finansinstitutioner i EU, kommer de med största sannolikhet att bli föremål för DORA också. Så, utöver sina tidigare regelverk, kommer de IKT-leverantörer som utsetts till att erbjuda en kritisk tjänst plötsligt att regleras under DORA på ett sätt som i hög grad känns som om de håller på att bli förlängningar av EU:s finansinstitut de betjänar. Oavsett hur man ser på det är det en dramatisk förändring – för både finansiella institutioner och IKT-leverantörer.
Men det är inte allt. DORA ändrar perspektivet för EU:s regelverk. Tillsynsmyndigheter som är experter på efterlevnad av finansinstitut måste nu utöka sin räckvidd till att omfatta IKT-leverantörer som erbjuder viktiga tjänster, såsom molnleverantörer, dataanalystjänster och andra icke-finansiella företag. I länder med komplexa regleringsstrukturer kommer det också att finnas behov av att samarbeta med andra organ som har till uppgift att reglera dessa ytterligare typer av icke-finansiella industrier.
Möt utmaningarna
DORA kräver att EU:s finansinstitut bedömer sin egen cybersäkerhet och riskhanteringsmognad. Att förstå och hantera deras riskprestanda i försörjningskedjan kommer att vara centralt för detta arbete.
I allmänhet är finansiella institutioner skickliga på stresstester för att fastställa säkerhet och finansiell stabilitet. Det är en annan utmaning att utöka den typen av tester till andra organisationer. Så för EU:s finanssektor är hur man hanterar leverantörer, riskhantering och operativa kapaciteter i en allt mer komplex och utökad försörjningskedja det största pusslet.
Till exempel kan en finansiell institution ha sitt huvudkontor i Europa men ha all sin stödverksamhet utlokaliserad till företag baserade i Indien. Dessa stödtjänster kanske inte tekniskt sett är finansiella institutioner. Men DORA kommer att kräva att finansinstitutet bedömer om säljaren är kritisk för dess verksamhet och tillämpar relevanta DORA-krav på den relationen.
För företag som inte är baserade i EU är nyckelfrågan jurisdiktion och marknadstillträde. Finansiella institutioner eller IKT-leverantörer som verkar utanför EU berörs inte. Men om företaget är en finansiell institution eller leverantör av IKT-tjänster som betjänar EU:s finanssektor på något sätt, kommer det sannolikt att bli föremål för DORA – direkt eller indirekt.
Nedräkning till 2024
Såvida inte något ändras i den slutliga texten, träder DORA i kraft 24 månader efter dess officiella antagande. Realistiskt sett kommer det sannolikt att vara någonstans nära slutet av 2024. Den goda nyheten är att detta ger gott om tid för organisationer att förbereda sig för efterlevnad. Viktigast av allt är att det inte är för lång tid för inkludering i en typisk företagsbudgetcykel.
Men innan den deadline smyger sig på dig, börja förbereda dig nu. Här är fem viktiga steg:
- Använd tiden fram till 2024 klokt.
- Förstå var du är. Sök, hitta och identifiera dina efterlevnadsluckor.
- Bestäm vad du behöver för att åtgärda dina luckor.
- Utbilda och få inköp från högsta ledningen.
- Budget för de 24 månaderna.
Klockan tickar.
