Skip to main content
← Tillbaka till Insikter
Finansiella tjänster 13 min läsning

Cybersäkerhet för finanssektorn: DORA & NIS2-guide

En praktisk guide till cybersäkerhetskrav för finansiella tjänsteföretag i EU. Förstå DORA, NIS2 och PSD2-skyldigheter med implementeringsstrategier.

TI
Tom Isgren

Viktiga slutsatser

  • DORA (Digital Operational Resilience Act) skapar omfattande ICT-riskkrav för finansiella entiteter
  • Koncentrationsrisk från tredjeparter är nu en regulatorisk angelägenhet som driver mot diversifiering
  • Incidentrapporteringstiderna är strikta och kräver förberedda insatsprocedurer
  • Regelbunden motståndskraftstestning, inklusive hotledd penetrationstestning, är obligatorisk

Regelverket

Finansiella tjänsteföretag i EU står inför en allt mer komplex regulatorisk miljö för teknik och cybersäkerhet. Utöver DORA ställer NIS2-direktivet ytterligare krav på nätverks- och informationssäkerhet. Att förstå hur olika regelverk samverkar är väsentligt för att bygga kompatibel infrastruktur.

DORA: Digital Operational Resilience Act

DORA, tillämpbar från januari 2025, är den mest betydande cybersäkerhetsförordningen som specifikt riktar sig mot finansiella tjänster. Den gäller för:

  • Kreditinstitut (banker)
  • Betalningsinstitut och e-penninginstitut
  • Värdepappersföretag och fondförvaltare
  • Försäkrings- och återförsäkringsföretag
  • Kreditvärderingsinstitut och leverantörer av kryptotillgångstjänster
  • Kritiska ICT-tredjepartsleverantörer

Omfattningen är bred och täcker entiteter från stora banker till mindre fintechbolag. Proportionalitetsprincipen gäller, med krav anpassade efter entitetens storlek och komplexitet, men kärnkraven gäller för alla.

DORA:s fem pelare

  1. 1. ICT-riskhantering: Omfattande ramverk för att identifiera, skydda, upptäcka, hantera och återställa från ICT-risker
  2. 2. Incidentrapportering: Klassificering och anmälan av ICT-relaterade incidenter till behöriga myndigheter
  3. 3. Motståndskraftstestning: Regelbunden testning inklusive hotledd penetrationstestning (TLPT) för betydande entiteter
  4. 4. Tredjepartsrisk: Due diligence, avtalskrav och övervakning av ICT-tjänstleverantörer
  5. 5. Informationsdelning: Deltagande i arrangemang för delning av hotinformation

Ramverk för ICT-riskhantering

Styrning

DORA placerar ICT-risk i styrelserummet. Ledningsorgan måste:

  • Definiera och godkänna ramverket för ICT-riskhantering
  • Fastställa och övervaka implementeringen av strategin för digital operativ motståndskraft
  • Godkänna och regelbundet se över ICT-policyer
  • Tilldela tillräcklig budget och resurser för ICT
  • Upprätthålla lämplig kunskap och kompetens i ICT-frågor

Det handlar inte om kryssrutecompliance. Tillsynsmyndigheter förväntar sig genuint styrelseengagemang i teknikrisk, demonstrerat genom informerade beslut och lämplig utmaning.

Riskidentifiering och skydd

Ramverket måste adressera:

  • Tillgångshantering: Fullständig inventering av ICT-tillgångar, inklusive beroenden
  • Riskbedömning: Regelbunden identifiering och utvärdering av ICT-risker
  • Skyddsåtgärder: Kontroller proportionella mot identifierade risker
  • Ändringshantering: Kontrollerade processer för systemändringar
  • Kontinuitetsplanering: Planer och förmåga att upprätthålla verksamheten

Krav på incidentrapportering

DORA definierar kriterier för klassificering av incidenter, inklusive antal påverkade klienter, varaktighet, geografisk spridning, ekonomisk påverkan, dataförluster och påverkade kritiska tjänster.

Tidslinje för incidentanmälan

  • Inledande anmälan: Inom 4 timmar från klassificering som allvarlig incident, eller 24 timmar från upptäckt
  • Mellanliggande rapport: Inom 72 timmar, med uppdateringar om hantering och påverkan
  • Slutrapport: Inom en månad, med rotorsaksanalys och åtgärder

Dessa tidslinjer är krävande. Du kan inte uppfylla dem utan förberedda mallar, tydliga eskaleringsled och inövade procedurer.

Tredjepartsriskhantering

Krav på due diligence

Innan ICT-tjänstleverantörer anlitas måste entiteter:

  • Bedöm leverantörens förmåga att uppfylla tillämpliga krav
  • Utvärdera koncentrationsrisk och utbytbarhet
  • Granska leverantörens underleverantörsarrangemang
  • Överväga den geografiska placeringen av tjänstleverans och datalagring

Koncentrationsrisk

DORA adresserar uttryckligen koncentrationsrisk från överberoende av enskilda leverantörer. Entiteter måste:

  • Identifiera kritiska eller viktiga funktioner som outsourcats till tredjeparter
  • Bedöm beroenden och potentiella bristpunkter
  • Utveckla exitstrategier för kritiska leverantörer
  • Överväg flerleverantörs- eller hybridstrategier

Detta skapar ett starkt argument för att diversifiera infrastruktur och undvika inlåsning till enskilda molnleverantörer eller teknikplattformar.

Testning av digital operativ motståndskraft

Alla berörda entiteter måste genomföra regelbunden testning, inklusive sårbarhetsbedömningar, nätverkssäkerhetsbedömningar, gapanalyser, fysiska säkerhetsgranskningar, källkodsgranskningar, scenariobaserad testning och prestandatestning.

Hotledd penetrationstestning (TLPT)

Betydande entiteter måste genomföra TLPT minst vart tredje år:

  • Testning baserad på realistiska hotscenarier
  • Täckning av kritiska och viktiga funktioner
  • Användning av kvalificerade externa testare
  • Samordning med behöriga myndigheter

TLPT baseras på TIBER-EU-ramverket och kräver sofistikerade red team-övningar som simulerar verkliga motståndare.

Infrastrukturrekommendationer

Arkitekturprinciper

För finansiella tjänster bör infrastruktur prioritera:

Fördelar med egenhosting

  • Fullständig kontroll över dataplacering
  • Minskad koncentrationsrisk
  • Förenklade regulatoriska granskningar
  • Inga utmaningar vid byte av molnleverantör
  • Tydlig ansvarskedja

Molnöverväganden

  • Stora leverantörer kan bli "kritiska" under DORA
  • Exitstrategier krävs i avtal
  • Underbiträdeskedjor att hantera
  • Granskningsrätter ofta begränsade
  • Gränsöverskridande dataoro

Många finansiella entiteter anammar hybridstrategier: kritisk behandling på kontrollerad infrastruktur med moln för mindre känsliga arbetsbelastningar, med säkerställd leverantörsdiversifiering och bevarade exitmöjligheter.

Rekommenderad teknikstack

  • Identitet och åtkomst: Authentik eller Keycloak med stöd för hårdvarutoken
  • Hemlighetshantering: HashiCorp Vault för lagring av autentiseringsuppgifter
  • Övervakning: Prometheus/Grafana för mätetal, centraliserad loggning med bevaring
  • Automation: n8n för arbetsflödesautomation med fullständig granskningsspårning
  • Kommunikation: Mattermost med compliancefunktioner aktiverade

Implementeringsfärdplan

1

Utvärdering

Gapanalys mot DORA-krav, inventering och riskbedömning av tredjepartsleverantörer, dokumentation av nuvarande ICT-system och beroenden, översyn av styrningsstruktur.

2

Ramverksutveckling

ICT-riskhanteringspolicy och -procedurer, incidentklassificerings- och rapporteringsrutiner, ramverk för tredjepartsriskhantering, testningsstrategi och schema.

3

Implementering

Driftsättning av tekniska kontroller, övervaknings- och detektionsförmåga, kontinuitets- och katastrofåterhämtningsplanering, utbildnings- och medvetenhetsprogram.

4

Validering

Intern testning och övningar, oberoende bedömningar, åtgärdande av identifierade brister, regulatorisk dialog vid behov.

Vanliga compliancebrister

I arbetet med kunder inom finansiella tjänster stöter vi ofta på:

  • Ofullständiga tillgångsinventeringar: Okända system och beroenden
  • Otillräcklig tredjepartstillsyn: Avtal utan erforderliga bestämmelser
  • Otestad återhämtning: Backupsystem som aldrig validerats
  • Saknad detektionsförmåga: Ingen insyn i säkerhetshändelser
  • Informell incidenthantering: Inga dokumenterade, inövade procedurer
  • Styrelsens frånkoppling: Styrning utan genuin tillsyn

Behöver du hjälp? Vi hjälper finansiella tjänsteföretag att implementera infrastruktur som uppfyller DORA-, NIS2- och PSD2-krav och samtidigt möjliggör effektiv verksamhet.