DORA-FORORDNINGEN: ET SKRIDT MOD EN SIKRERE DIGITAL VERDEN

DORA (Digital Operational Resilience Act) er en ny EU-forordning, der sigter mod at forbedre it-sikkerheden i EU. Det gør den ved at stille krav til virksomheder om at have en plan for at håndtere it-sikkerhedsrisici og rapportere om alvorlige it-sikkerhedsincidenter. Forordningen trådte i kraft den 16. januar 2023, og vi giver dig i denne nyhed et overblik over forordningen.
Nyhed
Bank og Finans

Kort om DORA-forordningen

Forordningen retter sig mod en række forskellige erhvervssektorer, herunder finansielle tjenesteydelser, energi, transport og offentlige tjenesteydelser.

Særligt på bank- og finansområdet vil DORA-forordningen have betydning for forvaltere af alternative investeringsfonde (”FAIF’er”) og investeringsforvaltningsselskaber (”IFS’er”) ved at indebære øgede krav til transparens, rapportering og governance.

Reglerne vil også have indflydelse for platforme, som FAIF'er og IFS'er anvender i forbindelse med kommunikation til investorerne i de forvaltede/administrerede fonde. Kommunikation skal i denne forbindelse forstås bredt og omfatter bl.a. telefonopkald, mails, sociale medier og hjemmesider.

Konsekvenserne af DORA-forordningen vil variere afhængigt af konkrete forhold vedrørende de enkelte selskaber, herunder størrelse, kompleksitet, iboende risici og deres forretningsmodeller.

Nogle af de vigtigste krav i forordningen inkluderer:

  • Udvikling af en plan for håndtering af it-sikkerhedsrisici: De omfattede virksomheder skal udvikle en plan for at identificere, vurdere og håndtere it-sikkerhedsrisici, der kan påvirke deres kritiske funktioner og tjenester.
    • Dette omfatter både politikker, tekniske- og organisatoriske kontroller og krav til uddannelse af medarbejdere samt detaljerede tekniske krav til systemer og værktøjer i virksomheden.
  • Procedurer for håndtering af alvorlige it-sikkerhedsincidenter: Virksomheder skal have procedurer på plads for at håndtere alvorlige it-sikkerhedsincidenter, herunder trinene for at undgå, begrænse og håndtere skadevirkningerne.
  • Overvågning af it-systemer: Virksomheder skal overvåge deres it-systemer for at opdage og reagere på sikkerhedsrisici i tide.
  • Kommunikation om sikkerhedsrisici: Virksomheder skal kommunikere relevante sikkerhedsrisici til relevante interessenter, herunder eksterne myndigheder og kunder.
  • Regelmæssige sikkerhedstest og -evalueringer: Virksomheder skal gennemføre regelmæssige sikkerhedstest og evalueringer for at sikre, at deres sikkerhedsplaner og -procedurer er opdaterede og effektive.
  • Rapportering om alvorlige it-sikkerhedsincidenter: Virksomhederne skal rapportere om alvorlige it-sikkerhedsincidenter til relevante nationale myndigheder inden for en kort tidsfrist.

Regler om aftaler mellem virksomheder og it-leverandører

Forordningen fastlægger visse regler vedrørende aftaler mellem de omfattede virksomheder og it-leverandører. Dette kan fx være aftaler om outsourcing, der i så fald kommer til at supplere de allerede gældende regler for visse finansielle virksomheder på området for outsourcing og delegation.

Implementering af forordningen

Det er vigtigt at bemærke, at de konkrete detaljer om gennemførelsen først vil blive fastlagt i efterfølgende implementeringsforordninger. De næste 2 år, før den endelige anvendelsesdato den 17. januar 2025, vil der blive udstedt supplerende regler og vejledninger, der skal præcisere forordningen. DORA-forordningen bliver dermed samlet set suppleret af 9 reguleringsmæssige tekniske standarder (også kaldet ”RTS’er”), to implementeringsmæssige tekniske standarder (”ITS’er”) og 3 retningslinjer.

Lund Elmer Sandagers bemærkninger

Behovet for forordningen er et resultat af den digitale transformation, som EU og resten af verdenen gennemgår. Lund Elmer Sandager ser positivt på DORA-forordningens ikrafttræden og anser forordningen som et vigtigt skridt i retningen mod at øge it-sikkerheden i EU og beskytte både virksomheder og deres kunder mod cybertrusler.

Hvis du vil vide, om du er omfattet af DORA-forordningen, eller du har andre spørgsmål til IT-sikkerhed, så kontakt vores specialister partner, advokat Kim Høibye eller advokat Jakub Zakrzewski for professionel, kompetent rådgivning.

Du kan også holde dig opdateret på området ved at tilmelde dig vores særlige nyhedsbrev for bank og finans her.

Relaterede medarbejdere

Morten er advokat og partner i vores Procesafdeling, hvor han er højtspecialiseret inden for finansieringsretten og ekspert i retssager.

Morten Schwartz Nielsen

partner
advokat (H)
Kim er en erfaren advokat og partner i afdelingen for bank og finans, hvor han rådgiver danske og internationale klienter om bank- og finansieringsretten.

Kim Høibye

partner
advokat
Jakub er advokat i vores team for Corporate Commercial, hvor han er specialiseret i bank- og finansieringsretten og rådgiver både danske og internationale virksomheder.

Jakub Zakrzewski

Associeret partner
advokat
Honas er advokatfuldmægtig i Corporate Commercial, hvor rådgiver danske og internationale virksomheder om alle aspekter af bank- og finansieringsretten.

Honas Kader

advokatfuldmægtig

Relaterede nyheder

Se alle nyheder
Nyhed

ESMA identificerer potentielle risici i fonde, der er eksponeret over for gearing og likviditetsmismatch

Den 30. januar 2024 offentliggjorde ESMA en rapport over markedet for EU-AIF’er samt en risikovurdering af EU-AIF’er, der er eksponeret over for gearing. Markedsrapporten er udarbejdet på baggrund af EU-medlemsstaternes rapportering for 2022. Vi vil i denne nyhedsartikel se nærmere på centrale elementer i rapporten som, ESMA allerede har udtalt, vil føre til et skærpet tilsyn.
Bank og Finans
Nyhed

ESMA opfordrer til nedprioritering af tilsyn med RTS 28-rapporteringsforpligtelsen

I februar offentliggjorde den europæiske værdipapir- og markedstil-synsmyndighed (ESMA) en erklæring vedrørende RTS 28-rapporteringsforpligtelser, der udgår ved det kommende MiFID II-ændringsdirektivet. Denne erklæring er relevant for alle investeringsselskaber, der foretager ”best execution”.
Bank og Finans
Nyhed

Opdatering på ESMA’s retningslinjer for navngivning af bæredygtighedsrelaterede fonde

Den Europæiske Værdipapir- og Markedstilsynsmyndighed (”ESMA”) har den 14. december 2023 offentliggjort en meddelelse om de kommende retningslinjer for navngivning af bæredygtighedsrelaterede fonde.
Bank og Finans
Nyhed

ESMA opdaterer retningslinjer om produktstyring

Den Europæiske Værdipapir- og Markedstilsynsmyndighed (ESMA) har opdateret sine retningslinjer for kravene til produktstyring i MiFID II. I denne opdatering får du en kort redegørelse for ændringerne, som trådte i kraft den 3. oktober 2023.
Bank og Finans
Nyhed

AI revolutionerer kapitalforvaltningen: Hvad gør det ved vores investeringsstrategier?

Kunstig intelligens har holdt sit indtog i kapitalforvaltningen og givet investorer nye muligheder for at forbedre deres approach og porteføljer. Men også nye udfordringer og risici, de skal forholde sig til.
Bank og Finans
Nyhed

Finanstilsynet undersøger bestyrelser i investeringsforeninger og værdipapirfondes håndtering af utilfredsstillende afkast

Finanstilsynet har for nylig offentliggjort deres temainspektion vedrørende bestyrelser i investeringsenheder og værdipapirfondes håndtering af utilfredsstillende afkast, herunder de konsekvenser, der opstår som følge af for høje omkostninger. I denne artikel opsummerer vi Finanstilsynets undersøgelse og fremhæver de aspekter, der er relevante for bestyrelser inden for investeringsfondsbranchen.
Bank og Finans