Har du koll på dom nya reglerna? I januari 2025 trädde DORA-förordningen i kraft – ett nytt EU-regelverk som ställer ökade krav på finansiella företag att hantera IKT-risker och säkerställa digital motståndskraft. Finanstid har intervjuat Benjamin Söderman, Information Security Advisor på Seadot Cybersecurity, om vad DORA innebär i praktiken och hur branschen påverkas.

Benjamin har gedigen erfarenhet från arbete med banker, försäkringsbolag och fondbolag, och är i dag en efterfrågad rådgivare för företag som behöver uppfylla de nya reglerna. I intervjun delar han med sig av konkreta exempel, vanliga fallgropar – och hur organisationer kan vända regelefterlevnad till konkurrensfördel.

Vilken typ av uppdrag har du haft som konsult inom informationssäkerhet, och vad har varit ditt fokus hos de kunder du arbetat med?

Jag har arbetat med en mängd olika finansiella entiteter av varierande storlek, inklusive försäkringsbolag, banker och fondbolag. Mina uppdrag har sträckt sig från punktinsatser till längre engagemang, med uppgifter som gap-analyser, mognadsbedömningar och styrelseutbildningar. För närvarande har jag ett längre uppdrag på en bank där jag fungerar som informationssäkerhetsansvarig. Mitt fokus i detta uppdrag är brett och omfattar utveckling av processer och rutiner, framtagande av styrdokument, genomförande av utbildningar, kontinuitets- och incidenthantering samt andra dagliga uppgifter som uppstår. Den gemensamma nämnaren för alla mina uppdrag har varit fokus på DORA-förordningen. Oavsett om det rör sig om små eller stora finansiella entiteter är utmaningarna betydande.

Du har arbetat mycket med att implementera DORA – vilka är de största förändringarna som detta regelverk innebär för finanssektorn?

Det är viktigt att komma ihåg att finansbranschen har varit hårt reglerad under lång tid. Hos etablerade organisationer har jag sett att många av deras processer, rutiner och metoder kan justeras för att uppfylla DORA-kraven. Om möjligheten att anpassa fungerande processer finns så är detta att föredra framför att genomföra omfattande förändringar. Däremot kan det vara mer utmanande för mindre aktörer och start-ups som kanske saknar resurser för att hantera dessa omfattande krav.

Några konkreta förändringar som DORA medför inkluderar:

  • Avtalshantering: Organisationer som använder koncerninterna IKT-avtal kan behöva en ny avtalsstruktur för att följa DORA. Avtalsansvariga måste ha en metodik för att samla in tillräcklig information om avtalen och registrera dem enligt informationsregisterkraven.
  • Hantering av IKT-risk: Kontrollfunktioner måste ha kapacitet att bedöma och följa upp organisationens IKT-risk. Acceptansnivå för IKT-risk behöver sättas.
  • Incidenthantering: Mindre organisationer måste bygga rollbeskrivningar, arbetssätt och metodik för att systematiskt hantera incidenter och klara tidsgränserna för incidentrapportering.

Detta är förändringar som i sin tur kräver ökade insatser inom utbildning av personal och ledningsorgan.

Vad ser du som de största utmaningarna för organisationer när det gäller att efterleva DORA framöver?

En stor utmaning är det tolkningsutrymme som finns inom regelverket, vilket skapar osäkerhet om hur Finansinspektionen kommer att tolka och tillämpa reglerna. Detta är förstås inte unikt för just DORA, men givet de höga sanktionsavgifterna är det viktigt att organisationens tolkningar är tydliga. Detta kräver uppdaterad dokumentation.

En annan utmaning är de rapporteringsskyldigheter som tillkommer med DORA. Nya arbetssätt, som att samla in och skicka in informationsregistret, kan vara utmanande (jag satt själv in i det sista för att få godkänt på en kunds rapportering). Incidentklassificering och rapportering kan också vara problematiskt – hur säkerställer vi att all nödvändig data finns tillgänglig för att göra korrekta bedömningar?

Ett medskick jag vill göra är att dra nytta av intresseföreningar, om det finns inom just er bransch, då flera organisationer ofta befinner sig i samma situation som ni.

Du nämner att mycket har blivit bättre – kan du ge några konkreta exempel på positiva effekter du sett i praktiken?

DORA och andra informationssäkerhetsförordningar är utmanande, men de medför också möjligheter. Till exempel kan en CISO eller IT-avdelning använda regelverken som konkreta fall för att motivera ökade resurser för att uppfylla kraven. Detta kan leda till att man äntligen åtgärdar brister som identifierats för länge sedan.

Kraven på regelefterlevnad medför också standardisering, vilket minskar användandet av ad-hoc-lösningar. Systematiska arbetssätt är en vinst för alla inblandade – de operativt ansvariga, kontrollfunktioner och tillsynsmyndigheter.

Hur ser du på framtiden för cybersäkerhet inom finansbranschen, och vilken roll spelar konsulter som du i den utvecklingen?

Framtiden kommer sannolikt att innebära ytterligare reglering, vilket innebär att det krävs mycket navigation och många överlappande krav att hantera. Hotbilden har ökat de senaste åren och kommer troligen att fortsätta öka, särskilt med ökad digitalisering och fler aktörer på marknaden. Många organisationer upplever att de varken har kapacitet eller resurser att hantera dessa frågor, eller insyn i praktisk implementation av lösningar. Där finns vi med en bred erfarenhet till förfogande.

Konsulter kan hjälpa organisationer att förstå vad som behöver göras, men de är inte en helhetslösning. Verksamheten måste vara beredd att ta över och fortsätta arbetet när konsulten lämnar – det är ju organisationen som ska efterleva kraven.

Om Seadot Cybersecurity

Seadot Cybersecurity hjälper organisationer att möta ökande hot, växande regelverkskrav och behovet av kontinuitet i en osäker tid. Vi har många års erfarenhet av att erbjuda cybersäkerhetstjänster till organisationer med höga krav på regelverksefterlevnad och säkerhet.

Vår kärna ligger i informationssäkerhet, regelefterlevnad, IT-säkerhet samt kontinuitet och motståndskraft – områden där vi erbjuder djup expertis och operativ förmåga. Genom vår kompetensmodell arbetar vi integrerat med teknik, styrning och regelverk för att skapa hållbara och motståndskraftiga digitala miljöer.