FAIF Nyhedsbrev - DORA Compliance

Introduktion

Digital Operational Resilience Act (også kendt som ”DORA”) trådte i kraft den 16. januar 2023 og skulle være fuldt implementeret senest den 17. januar 2025 (dvs. i fredags).

FAIF’er med tilladelse er omfattet af DORA og skal således i dag være compliant med regelsættet.
Registrerede FAIF’er er derimod ikke omfattet af regelsættet og skal i forhold til IT-sikkerhed m.v. således alene leve op til Selskabslovens mere almindelige principper om, at selskaber skal have de fornødne procedurer for risikostyring og interne kontroller.

Næste vigtige frist – indsendelse af IKT-registre i slutningen af marts

Den næste vigtige frist, som FAIF’er med tilladelse bør være opmærksom på, er indsendelse af informations- og kommunikationsteknologi (”IKT”) registre til Finanstilsynet i slutningen af marts 2025.

Det følger således af artikel 28 i DORA-forordningen, at de omfattede virksomheder, herunder FAIF’er, på enhedsniveau, delkonsolideret og konsolideret niveau vedligeholder og opdaterer et register over oplysninger om alle kontraktlige ordninger for brugen af IKT-tjenester, der leveres af tredjepartsudbydere af IKT-tjenester. De finansielle enheder indberetter mindst én gang om året antallet af nye ordninger for brugen af IKT-tjenester, kategorierne af tredjepartsudbydere af IKT-tjenester, typen af kontraktlige ordninger og de IKT-tjenester og funktioner, der leveres, til de kompetente myndigheder.

FAIF’er med tilladelse skal således (principielt fra i fredags) have identificeret samt udarbejdet en opdateret liste over deres IKT-tredjepartsudbydere.

Det er denne liste, der vil skulle indsendes/indrapporteres til Finanstilsynet i slutningen af marts, og derefter mindst en gang om året. Den præcise dato er ikke fastlagt endnu, idet den afhænger af, at der både på nationalt plan og på EU-plan foreligger et online indberetningssystem, der kan understøtte indberetningerne. Finanstilsynet har derfor indtil videre alene meddelt, at det er deres forventning, at dette system er klar i slutningen af marts 2025.

Indberetningen vil skulle omfatte bl.a. antallet af nye ordninger for brugen af IKT-tjenester, kategorierne af tredjepartsudbydere af IKT-tjenester, typen af kontraktlige ordninger og de IKT-tjenester og funktioner, der leveres.
 

Hvad hvis DORA-implementeringen ikke er helt færdig endnu?

Hvis man ikke er blevet helt færdig med at implementere DORA endnu, begynder det selvsagt at haste. Er man slet ikke gået i gang endnu, gælder dette så meget desto mere. Regelsættet trådte i kraft for to år siden, hvorfor de omfattede virksomheder har haft ca. 2 år til at implementere det. Deroverfor skal dog siges, at nogle af de tekniske standarder m.v., der har været nødvendige for en korrekt implementering af DORA ikke har foreligget før langt senere. Dette er rent juridisk
naturligvis ikke en lovlig undskyldning for at være non-compliant efter den 17. januar 2025, men det kan dog være med til at forklare, hvorfor nogle virksomheder evt. er kommet for sent i gang med implementeringen af DORA.

Hvis man ikke er helt færdig med DORA-implementeringen endnu, er det vores anbefaling, at man hurtigst muligt opprioriterer dette arbejde. Vi har i et tidligere nyhedsbrev beskrevet vores generelle implementeringsanbefalinger,
herunder at man bør starte med at foretage en kortlægning af virksomhedens modenhedsniveau gennem en
GAP-analyse, hvor der skabes klarhed over, hvilke procedurer og krav der er mulighed for at efterleve – og hvilke nye foranstaltninger der bør iværksættes. Herefter bør konklusionerne fra analysen adresseres og der vil være en række direkte pligter, som skal udmøntes i organisationen, herunder f.eks.:

• Gennemførelse af de relevante risikovurderinger,
• Indgåelse, ajourføring og vurdering af de relevante leverandør- og outsourcing kontrakter for at sikre efterlevelse af DORA,
• Udarbejdelse og implementering af de relevante politikker og forretningsgange,
• Fastlæggelse af strategi for digital operationel modstandsdygtighed.