Några av TellusTalks kunder bedriver verksamhet som gör att de omfattas av Digital Operational Resilience Act (förordning [EU] 2022/2554, ”DORA”) som är en EU-förordning vars syfte är att stärka den digitala operativa motståndskraften inom finanssektorn, som tillämpas från och med 17 januari 2025.
Verksamheter som omfattas av DORA har krav på sig att identifiera, klassificera och hantera digitala risker (it-risker). Regelverket är utformat för att säkerställa att organisationer inom EU:s finanssektor kan motstå, hantera och återhämta sig från alla typer av IKT-relaterade störningar och hot.
TellusTalk’s kunder som omfattas av DORA
TellusTalk har utformat ett standardiserat tilläggsavtal som från och med den 17 januari 2025 automatiskt gäller för våra kunder som omfattas av DORA. Då TellusTalk inte bör kategoriseras som en kritisk leverantör så baseras tilläggsavtalet på kraven i artikel 30.1 och 30.2 som avser icke-kritiska leverantörer.
Vi har dock även tagit med några punkter från artikel 30.3, som avser kritiska leverantörer, där vi kan möta kraven med vår grundtjänst.
Kunder som ändå väljer att kategorisera TellusTalk som en kritisk leverantör
Har möjlighet att istället för den vanliga Företagstjänsten eller Lilla paketet, teckna ett Enterpriseavtal med utökade krav enligt artikel 30.3 DORA.
IKT, vad är det?
IKT står för informations- och kommunikationsteknik, efter engelskans Information and Communication Technology (ICT). IKT är den hårdvara och mjukvara vi använder för att skaffa information och kommunicera online.
Vilka omfattas av DORA?
De organisationer som faller under förordningen definieras i artikel 2 DORA. Det handlar till exempel om banker, försäkringsbolag, värdepappersbolag, kredit- eller betalningsinstitut och försäkringsförmedlare. De kallas i DORA för “finansiella entiteter”.
Vad innebär DORA?
Finansiella entiteter måste skapa, implementera och underhålla ett ramverk för att bedöma och hantera IKT-risker.
Detta ramverk ska omfatta:
- identifiering, klassificering och dokumentering av verksamhetskritiska funktioner
- löpande övervakning av möjliga IKT-risker och vidta förebyggande åtgärder
- möjligheten att omedelbart upptäcka onormala aktiviteter
- en affärskontinuitetspolicy med kris- och återgångsplaner
- mekanismer för att dra lärdomar av inträffade IKT-incidenter.
Incidenter: Upptäcka, Klassificera och Rapportera
Kapitel II DORA innehåller också krav gällande hantering och rapportering av IKT-relaterade incidenter.
Finansiella entiteter ska säkerställa att de kan upptäcka och hantera IKT-relaterade incidenter och betydande cyberhot (artikel 17 DORA).
De ska därefter klassificera dessa och avgöra vilken effekt de har på verksamheten. Som hjälp finns ett antal kriterier i artikel 18 DORA.
De ska slutligen rapportera allvarliga IKT-relaterade incidenter till relevant tillsynsmyndighet. Tidsfrister för rapportering fastställs genom de tekniska standarder som kompletterar förordningen (artikel 19–20 DORA).
Tredjepartsleverantörer och outsourcing
Kapitel V reglerar hantering av IKT-tredjepartsrisker och outsourcing.
I artikel 28–30 DORA hittar man de skyldigheter som finansiella entiteter har gällande hantering av IKT-tredjepartsrisk. I dessa bestämmelser hittar man dels krav gällande avtalsvillkor som måste inkluderas i avtal med IKT-leverantörer (artikel 30 DORA), dels krav på att göra bedömningar gällande koncentrationsrisk för alla outsourcingkontrakt som tillhandahåller kritiska funktioner (artikel 29 DORA).
En ”kritisk underleverantör” är en underleverantör som enligt den finansiella entitetens bedömning tillhandahåller en IKT-tjänst som stödjer en kritisk eller viktig funktion.
En ”kritisk eller viktig funktion” avser en funktion vars avbrott väsentligt skulle påverka den finansiella entiteten negativt inom flera olika områden.
En underleverantör som kategoriserats som kritisk måste teckna omfattande avtal som säkerställer den fortsatta driften av tjänsterna.