DORA-FORORDNINGEN: ET SKRIDT MOD EN SIKRERE DIGITAL VERDEN

DORA (Digital Operational Resilience Act) er en ny EU-forordning, der sigter mod at forbedre it-sikkerheden i EU. Det gør den ved at stille krav til virksomheder om at have en plan for at håndtere it-sikkerhedsrisici og rapportere om alvorlige it-sikkerhedsincidenter. Forordningen trådte i kraft den 16. januar 2023, og vi giver dig i denne nyhed et overblik over forordningen.
Nyhed
Bank og Finans

Kort om DORA-forordningen

Forordningen retter sig mod en række forskellige erhvervssektorer, herunder finansielle tjenesteydelser, energi, transport og offentlige tjenesteydelser.

Særligt på bank- og finansområdet vil DORA-forordningen have betydning for forvaltere af alternative investeringsfonde (”FAIF’er”) og investeringsforvaltningsselskaber (”IFS’er”) ved at indebære øgede krav til transparens, rapportering og governance.

Reglerne vil også have indflydelse for platforme, som FAIF'er og IFS'er anvender i forbindelse med kommunikation til investorerne i de forvaltede/administrerede fonde. Kommunikation skal i denne forbindelse forstås bredt og omfatter bl.a. telefonopkald, mails, sociale medier og hjemmesider.

Konsekvenserne af DORA-forordningen vil variere afhængigt af konkrete forhold vedrørende de enkelte selskaber, herunder størrelse, kompleksitet, iboende risici og deres forretningsmodeller.

Nogle af de vigtigste krav i forordningen inkluderer:

  • Udvikling af en plan for håndtering af it-sikkerhedsrisici: De omfattede virksomheder skal udvikle en plan for at identificere, vurdere og håndtere it-sikkerhedsrisici, der kan påvirke deres kritiske funktioner og tjenester.
    • Dette omfatter både politikker, tekniske- og organisatoriske kontroller og krav til uddannelse af medarbejdere samt detaljerede tekniske krav til systemer og værktøjer i virksomheden.
  • Procedurer for håndtering af alvorlige it-sikkerhedsincidenter: Virksomheder skal have procedurer på plads for at håndtere alvorlige it-sikkerhedsincidenter, herunder trinene for at undgå, begrænse og håndtere skadevirkningerne.
  • Overvågning af it-systemer: Virksomheder skal overvåge deres it-systemer for at opdage og reagere på sikkerhedsrisici i tide.
  • Kommunikation om sikkerhedsrisici: Virksomheder skal kommunikere relevante sikkerhedsrisici til relevante interessenter, herunder eksterne myndigheder og kunder.
  • Regelmæssige sikkerhedstest og -evalueringer: Virksomheder skal gennemføre regelmæssige sikkerhedstest og evalueringer for at sikre, at deres sikkerhedsplaner og -procedurer er opdaterede og effektive.
  • Rapportering om alvorlige it-sikkerhedsincidenter: Virksomhederne skal rapportere om alvorlige it-sikkerhedsincidenter til relevante nationale myndigheder inden for en kort tidsfrist.

Regler om aftaler mellem virksomheder og it-leverandører

Forordningen fastlægger visse regler vedrørende aftaler mellem de omfattede virksomheder og it-leverandører. Dette kan fx være aftaler om outsourcing, der i så fald kommer til at supplere de allerede gældende regler for visse finansielle virksomheder på området for outsourcing og delegation.

Implementering af forordningen

Det er vigtigt at bemærke, at de konkrete detaljer om gennemførelsen først vil blive fastlagt i efterfølgende implementeringsforordninger. De næste 2 år, før den endelige anvendelsesdato den 17. januar 2025, vil der blive udstedt supplerende regler og vejledninger, der skal præcisere forordningen. DORA-forordningen bliver dermed samlet set suppleret af 9 reguleringsmæssige tekniske standarder (også kaldet ”RTS’er”), to implementeringsmæssige tekniske standarder (”ITS’er”) og 3 retningslinjer.

Lund Elmer Sandagers bemærkninger

Behovet for forordningen er et resultat af den digitale transformation, som EU og resten af verdenen gennemgår. Lund Elmer Sandager ser positivt på DORA-forordningens ikrafttræden og anser forordningen som et vigtigt skridt i retningen mod at øge it-sikkerheden i EU og beskytte både virksomheder og deres kunder mod cybertrusler.

Hvis du vil vide, om du er omfattet af DORA-forordningen, eller du har andre spørgsmål til IT-sikkerhed, så kontakt vores specialister partner, advokat Kim Høibye eller advokat Jakub Zakrzewski for professionel, kompetent rådgivning.

Du kan også holde dig opdateret på området ved at tilmelde dig vores særlige nyhedsbrev for bank og finans her.

Relaterede medarbejdere

Kjeld er en erfaren specialistadvokat, som beskæftiger sig med rådgivning af klienter i den finansielle sektor.

Kjeld Bergenfelt

specialistadvokat
Kristian er partner i vores afdeling for Proces og Finansiering, hvor han primært fører retssager, ligesom han rådgiver om leasing og finansiering samt sikkerheder og realisering heraf.

Kristian Ambjørn Buus-Nielsen

partner
advokat (H)
Marie er advokat i Corporate Commercial, hvor hun primært rådgiver virksomheder om selskabsretlige forhold og finansielle transaktioner.

Marie Boyer-Søgaard

advokat
Morten er advokat og partner i vores Procesafdeling, hvor han er højtspecialiseret inden for finansieringsretten og ekspert i retssager.

Morten Schwartz Nielsen

partner
advokat (H)

Relaterede nyheder

Se alle nyheder
Nyhed

DORA-forordningen: EU øger sikkerheden for kryptoaktiver

Med den nye EU-forordning, DORA, træder strengere sikkerhedskrav i kraft, som beskytter kryptoinvestorer mod cybertrusler. Men hvordan påvirker det dig i praksis? Her får du overblikket over forordningen, og hvad den betyder for dig som investor.
Bank og Finans
Nyhed

ESMA strammer kravene til bæredygtige investeringsprodukter

De finansielle tilsynsmyndigheder har skruet op for kravene til kapitalforvaltere for at sikre, at de kommunikerer retvisende om bæredygtighed i deres investeringsprodukter. Få overblik over den seneste udvikling inden for reguleringen af området.
Bank og Finans
Nyhed

ESMA’s nye retningslinjer: Øget regulering af kryptoaktiver og Reverse Solicitation

Den Europæiske Værdipapir- og Markedstilsynsmyndighed (”ESMA”) har udsendt nye retningslinjer på baggrund af kommentarer, som ESMA har modtaget om reverse solicitation og klassifikation af kryptoaktiver. Målet med de nye retningslinjer er at styrke investorbeskyttelse og sikre fair konkurrence på tværs af EU. Læs med og bliv klogere på de nye retningslinjer og deres betydning.
Bank og Finans
Nyhed

ESMAs nye retningslinjer: Hvordan påvirker AI investeringsservice for detailinvestorer?

Den Europæiske Værdipapir- og Markedstilsynsmyndighed (ESMA) har udsendt ny vejledning om brug af kunstig intelligens (AI) i forbindelse med investeringsservice rettet mod detailinvestorer. I denne artikel får du indsigt i den nye vejledning, AI's potentiale og risici, samt hvordan virksomheder kan sikre ansvarlig brug i overensstemmelse med MiFID II.
Bank og Finans
Nyhed

Den skjulte fælde i Fund of Funds-strategier: Strukturrisici

Fund of Funds-strategier kan give diversificeret eksponering og adgang til specialiserede forvaltere, men de medfører også en overset risiko: Strukturrisiko. Manglende due diligence af underliggende fondsstrukturer kan føre til uforudsete juridiske, operationelle og likviditetsmæssige udfordringer, der underminerer fordelene ved diversificering. Denne artikel udforsker strukturrisikoen i FoF-investeringer og muligheder for kapitalforvaltere til at forbedre deres due diligence-processer og sikre en mere holistisk risikovurdering.
Bank og Finans
Nyhed

Øget fokus på kravene ved offentliggørelse af investeringsanbefalinger på sociale medier

Den Europæiske Værdipapir- og Markedstilsynsmyndighed (ESMA) og de nationale kompetente myndigheder har den seneste tid haft øget fokus omkring krav, der er fastlagt i Markedsmisbrugsforordningen (”MAR”), som gælder, når der postes investeringsanbefalinger på f.eks. sociale medier. De advarer bl.a. også om risiciene ved markedsmisbrug i forbindelse med opslag på sociale medier. Vi har samlet 3 huskeregler til dig, så du sikrer, at reglerne bliver overholdt.
Bank og Finans