DORA-forordningen: EU øger sikkerheden for kryptoaktiver

Med den nye EU-forordning, DORA, træder strengere sikkerhedskrav i kraft, som beskytter kryptoinvestorer mod cybertrusler. Men hvordan påvirker det dig i praksis? Her får du overblikket over forordningen, og hvad den betyder for dig som investor.
Nyhed
Bank og Finans

Den nye EU-forordning

Den 16. januar 2023 trådte den nye EU-forordning, Digital Operational Resilience Act (”DORA"), i kraft. DORA er en regulatorisk ramme udstedt af EU, som er designet til at styrke stabiliteten i den finansielle sektor gennem øget modstandsdygtighed over for cybertrusler. Formålet med DORA er at adressere risikohåndtering relateret til IKT-tjenester (informations- og kommunikationsteknologi) i den finansielle sektor.

Hvordan påvirker DORA kryptoaktiver?

Kryptovaluta, såsom bitcoin, Ethereum, er decentralisererede aktiver. Det betyder, at disse opererer uden en central server eller anden form for central enhed og uden regulerende myndigheder. 

Selvom det decentraliserede netværk, de underliggende teknologier og selve aktivet ikke direkte er omfattet af DORA, påvirker forordningen kryptoaktiver indirekte, idet tjenesteudbydere og platforme, der tilbyder produkter og tjenester relateret til kryptovaluta (”CASP”), vil være omfattet. CASP står for ”Crypto-Asset Service Providers”. Eksempler på disse CASP er blandt andet kryptobørser, betalingstjenester og wallets. Hertil er fuldt decentraliserede wallets uden nogen form for central enhed undtaget. 

Udover platforme, der tilbyder CASP'er, gælder reglerne også for dem, der udsteder såkaldte 'forankrede tokens'. Disse tokens er knyttet (pegged) til en anden værdi eller aktiv. Eksempelvis stablecoins, der er knyttet til en valuta, eller andre aktiver som råvarer eller kryptovalutaer.

Omfang af reguleringen 

Som tidligere anført er DORA’s påvirkning på selve kryptoaktivet indirekte, da disse rammes gennem CASP’er. Nedenfor gennemgår vi de generelle krav og forpligtelser, som DORA pålægger virksomheder indenfor dens anvendelsesområde.

  • IKT-risikohåndteringsrammeværktøj: 
    Enheden skal etablere en solid og veldokumenteret IKT-risikohåndteringsramme. Dette værktøj skal give enheden mulighed for at reagere hurtigt på IKT-risici. Rammeværktøjet skal inkludere strategier, politikker og værktøjer, som skal gennemgås og dokumenteres mindst én gang om året.
     
  • Indberetning af større IKT-relaterede hændelser: 
    Enheden er forpligtet til at indberette væsentlige IKT-hændelser til de relevante myndigheder inden for en specifik tidsramme. Det inkluderer krav om klassificering af hændelsen, detaljeret dokumentation og informering af relevante interessenter.
     
  • Styring af tredjeparts ITK-tjenesteudbydere:
    Enhederne skal styre deres relationer til tredjeparts IKT-tjenesteudbydere ved at vurdere tjenesteudbyderen og udvikle en exit-strategi. Der er desuden krav om en skriftlig kontrakt, som skal opfylde nærmere specifikke regulatoriske krav, der regulerer forholdet mellem enheden og udbyderen.
     
  • Identifikation af ITK-risici: 
    Enheden skal løbende identificere kilder til IKT-risici gennem systematiske metoder og værktøjer. Dette skal ske som en del af den løbende risikohåndtering og trusselsvurdering.

Hvad betyder det for dig som investor?

Som investor i kryptoaktiver er det generelt en fordel, at EU implementerer DORA-forordningen. 

Investorer vil opleve, at deres kryptoaktiver er bedre beskyttet mod cybertrusler, hvilket mindsker risikoen for tab. DORA fremmer også transparens, idet investorerne som interessenter vil blive informeret om større IKT-relaterede hændelser og deres omfang.

Myndighederne vil have øget tilsyn og kontrol med CASP’erne, hvilket kan bidrage til bedre standarder inden for branchen. Disse forbedrede standarder kan desuden føre til en mere sikker, reguleret og legitim markedsplads med potentiale til at tiltrække et nyt segment af investorer med en anden investeringstypologi, som ellers er mere risiko-averse end typiske kryptoinvestorer.

DORAs brede anvendelsesområde – mere end blot krypto

DORA er rettet mod den finansielle sektor, men forordningens anvendelsesområde er langt bredere end blot CASP’erne. 

Af traditionelle finansielle institutioner er der blandt andet banker, forsikringsselskaber og pensionskasser. Af finansielle markedsfaciliteter er det handelspladser for aktie-, futures- og optionsmarkeder samt clearingshuse og værdipapircentraler. 

Udover finansielle institutioner og markedsfaciliteter rammer DORA også IT-udbydere og tredjepartsleverandører. Finanstilsynet vil offentliggøre, hvilke virksomheder der er udpeget som operatører på deres hjemmeside. Det er endnu ikke klart, om den enkelte virksomhed bliver udpeget, eller om den selv skal oplyse det.

Krydsfeltet mellem DORA og MiCA 

DORA og MiCA regulerer umiddelbart meget forskellige områder, men alligevel komplementerer de hinanden. Både DORA og MiCA hjælper med at beskytte dig som investor. Men mens DORA handler om cybersikkerhed, fokuserer MiCA på at sikre, at dine investeringer er beskyttet og at sikre markedsintegriteten. Dette kan DORA bidrage til ved at stille krav om styrket IT-sikkerhed, der fremmer stabilitet. 

Der findes også overlap mellem specifikke regler i MiCA og DORA. DORA stiller eksempelvis krav om, at visse sikkerhedsforanstaltninger skal etableres, hvorimod MiCA kræver, at der træffes tilstrækkelige foranstaltninger for at beskytte investorernes midler og data. Dette er et af flere eksempler på, hvordan synergier mellem regler kan udnyttes af virksomheder, der er omfattet af begge forordninger.

Vores kommentar

Hos Lund Elmer Sandagers bank- og finansteam ser vi både DORA- og MiCA-forordningerne som vigtige skridt mod at skabe et mere robust og gennemsigtigt reguleringsmiljø for kryptoaktiver. Den gradvise samordning mellem finansiel regulering og digitale aktiver kan medføre øget tillid fra institutionelle investorer og andre aktører, som tidligere har været tilbageholdende. Vi opfordrer vores klienter til nøje at følge udviklingen og sikre, at deres virksomheder er compliant med de nye regler. 

Vil du vide mere? 

Hvis du har spørgsmål eller ønsker yderligere information om DORA-forordningen er du velkommen til at kontakte partner Kim Høibye, associeret partner Jakub Zakrzewski eller advokatfuldmægtig Honas Kader.

Deltag i event om NIS2

Hos Lund Elmer Sandager afholder vi onsdag den 20. november et arrangement om NIS2-direktivet, hvor du kan blive klogere på de nye regler og hvordan de implementeres i dansk lovgivning. Der kommer mere info ud om eventet, når vi har dagsordenen på plads, men sæt allerede nu kryds i kalenderen, hvis du vil deltage.