Hur tålig är finanssektorn mot IT-risker och cyberhot? Nu börjar det bli bråttom för finansiella företag och dess styrelser att förbereda sig för den nya EU-förordningen som ställer krav på hantering av IT-risker och cybersäkerhet. Förordningen är en slags stresstest mot finanssektorns digitala operativa motståndskraft och kräver bl.a. att banker m.fl. innan den 17 januari 2025 förhandlar om avtal med leverantörer av IT-tjänster, m.m.
Den nya EU- förordningen heter DORA – Digital Operational Resilience Act – och går kort ut på att cirka 700 svenska banker, försäkringsbolag, värdepappersföretag och andra finansiella företag behöver undersöka och se till att de har beredskap och motståndskraft för cyberhot och andra IT-relaterade incidenter.
– Styrelsen är ytterst ansvarig för styrningen och bolagets riskhanteringsstrategi för informations- och kommunikationsrelaterade – IKT – risker. Ansvaret för compliance konkretiseras, där balansen mellan bolagets och styrelsens ansvar tydligt förskjuts till styrelsen. Det kan innebära ett gediget arbete att anpassa verksamheten till DORA och bristande efterlevnad kan bli kännbart i form av sanktioner som Finansinspektionen kan utfärda, vilka även kommer att kunna riktas mot styrelsen säger Eva Fredrikson, delägare på Vinge.
– En viktig konsekvens av DORA är att ett stort antal avtal mellan finansiella aktörer och olika IT-leverantörer behöver ses över och förhandlas om. Många av våra klienter har påbörjat det arbetet. Men vi ser också att vissa aktörer ännu inte påbörjat detta viktiga arbete. Och det börjar bli bråttom, säger Eva Fredrikson.
– Digitaliseringen inom finanssektorn gör bolagen till en måltavla för allvarliga cyberhot och andra IT-relaterade incidenter som riskerar att verksamheten inte kan skötas på ett normalt sätt och därmed kontinuiteten i det finansiella systemet.
