Dora har trätt i kraft – kompletterad med lag och föreskrifter från FI

Dora-förordningen riktar sig till de flesta företag som i dag står under Finansinspektionens tillsyn och innebär att högre krav ställs på de berörda företagen gällande bland annat:

• hantering av risker inom informations- och kommunikationsteknologi (IKT),
• rapportering av IKT-relaterade incidenter,
• testning av den digitala operativa motståndskraften, samt
• hantering av IKT-relaterade tredjepartsrisker.

Förordningen har kompletterats med svenska bestämmelser i form av en ny lag, som innehåller bestämmelser om bl.a. ansvariga myndigheter, FI:s tillsynsbefogenheter enligt förordningen och vilka ingripanden och sanktioner som kan bli aktuella vid överträdelse av förordningen.

Rapporteringen enligt Dora ska göras till FI, som har kommit med nya föreskrifter (FFFS 2024:20) där det anges vilket tekniskt format som företagen ska använda vid rapportering samt vid vilken tidpunkt som rapportering ska ske gällande informationsregister. Med anledning av den specifika Dora-regleringen har nya föreskrifter och allmänna råd införts om insättningssystem (FFFS 2024:21) samt allmänna råd om rapportering av händelser av väsentlig betydelse (FFFS 2024:22), vilka ersätter tidigare föreskrifter/allmänna råd. I FFFS 2024:22 anges att de allmänna råden inte omfattar incidentrapportering enligt Dora. Eftersom Dora-förordningen gäller för de flesta typer av finansiella företag har det också genomförts ändringar i ett antal föreskrifter som gäller för olika delar av finanssektorn.

På FI:s hemsida finns sedan den 17 januari en sida med samlad information kring Dora-rapporteringen.