Hvað er DORA?
DORA fjallar um stýringu á hættu/áhættum sem tengjast stafrænni þjónustu fyrirtækja á fjármálamarkaði. Með góðum stýringum er hægt að tryggja sem best viðnámsþrótt (resilience) fjármálamarkaðar gagnvart netógnum, kerfisbundnum veikleikum, ófullnægjandi afkastagetu o.s.frv.
Hættur eru alltaf til staðar og yfirleitt erfitt að uppræta eða koma í veg fyrir þær. Ef hætta raungerist getur það haft margvíslegar afleiðingar. Mat á alvarleika og líkindum afleiðinga segir síðan til um áhættuna sem afleiðingin skapar og aðstoðar við að forgangsraða aðgerðum.
Stýring áhættu felst í að draga úr líkindum eða alvarleika afleiðingar.
Reglugerð DORA EB 2022/2554 tók gildi í EB 17.1.2025 en ákvörðun sameiginlegu EES/EFTA nefndarinnar bíður innleiðingar í íslensk lög. Skv. þingmálaskrá verða lög um DORA (sem komin eru í samráðsgátt) lögð fram í vor og gert er ráð fyrir gildistöku 1.7.2025.
Afmörkun umfangs
Til að reisa sér ekki hurðarás um öxl er nauðsynlegt fyrir fyrirtæki á fjármálamarkaði að afmarki sem best umfang og áhrif regluverks á stafrænan rekstrarhluta þjónustu sinnar.
Hvað er það sem skiptir máli fyrir stafrænan rekstrarlegan viðnámsþrótt?
Fyrir hvaða þjónustu þarf að vera hægt að verjast árás, þ.e. hrinda henni eða tryggja samfellu með varaleið?
Hvaða þjónusta þolir rof eða truflun tímabundið? Þjónusta sem síðan yrði endurheimt að fullu í samræmi við viðbragðs- og endurreisnaráætlanir.
Hvernig er hægt að skilgreina eða forgangsraða þjónustu og kerfum?
Skilgreiningar sem hægt er að nýta til afmörkunar og forgangsröðunar er annars vegar skilgreining DORA á „nauðsynleg eða mikilvæg starfsemi“ og hins vegar skilgreining í reglugerð 866/2020 (íslenska NIS) fyrir nauðsynlega þjónustu bankastarfsemi og innviði fjármálamarkaða.
Í NIS2 (ESB tilskipun 2022/2555) sem er í skoðun hjá EES/EFTA nefndinni er sú krafa gerð að stefna stjórnvalda vegna net- og upplýsingaöryggis innihaldi markmið og forgang rekstraraðila sem falla undir tilskipunina. Slík stefna myndi einnig gagnast fjármálamarkaði til að afmarka nauðsynlega þjónustu. Í núverandi Netöryggisstefnu Íslands 2022-2037 er ekkert slíkt að finna. Nokkuð er í að NIS 2 taki gildi hér en hún er enn í skoðun hjá sameiginlegu EES/EFTA nefndinni.
Í dag er greiðsluþjónusta sú tegund þjónustu sem tilgreind er sem mikilvæg fyrir samfélagslega og efnahagslega starfsemi samkvæmt íslenska NIS. Engin sérstök tegund þjónustu er tilgreind fyrir innviði fjármálamarkaða.
Fyrirtæki á fjármálamarkaði þurfa að ákveða eða greina hvaða önnur þjónusta er nauðsynleg eða mikilvæg sem gæti verið:
· Þjónusta sem er skilyrði eða skylda sem tilgreind er í starfsleyfi
· Þjónusta sem er þess eðlis að rof á henni myndi hafa umtalsverð neikvæð áhrif á afkomu og/eða orðspor fyrirtækisins
Skynsamleg afmörkun þjónustu og kerfa myndi skila sér í minni vinnu og fyrirhöfn við að uppfylla aðrar kröfur DORA (og NIS þegar við á). Góð afmörkun hjálpar til við að draga úr umfangi prófana, innri úttekta, breytingastjórnunar, birgjastýringar, þjálfunar o.s.frv.
Sérfræðingar Gott og gilt eru reiðubúnir að veita góð ráð til fyrirtækja á fjármálamarkaði í þessum efnum.
Hildur Hannesdóttir (hildur@gottoggilt.is)