DORA får stor betydning for outsourcing i den finansielle sektor: Her er 5 afgørende punkter
IT-PERSPEKTIVER: Finansielle virksomheder skal endnu engang opdatere deres outsourcing-aftaler og processer grundet ny lovgivning - denne gang for at sikre overholdelse af kravene i DORA-forordningen.
Af Michael Hur Bertelsen og Nina Bech Damgaard Pedersen, begge Plesner Advokatpartnerselskab. It-perspektiverne er alene et udtryk for forfatterens synspunkter.
Hvis du arbejder med outsourcing i den finansielle sektor, ved du, at der allerede gælder omfattende regler, herunder i Outsourcingbekendtgørelsen for kreditinstitutter mv. og Solvens II-forordningen.
Seneste skud på stammen er EU's Forordning om digital operationel modstandsdygtighed i den finansielle sektor eller blot "DORA". DORA trådte i kraft den 16. januar 2023 og indeholder blandt andet ny regulering af aftaler om IKT-tjenester (altså informations- og kommunikationsteknologi tjenester) og har særligt fokus på it- og cybersikkerhed.
DORA vil harmonisere håndteringen af IKT-tjenester på tværs af den finansielle sektor, og får betydning for en bred vifte af finansielle virksomheder, herunder kreditinstitutter, betalingsinstitutter, e-pengeinstitutter, investeringsselskaber, forsikrings- og genforsikringsvirksomheder, større forsikringsformidlere og arbejdsmarkedspensionsselskaber.
Godt nyt er dog, at dele af det tidligere arbejde kan genbruges - selvom DORA også indeholder nye krav.
Her er 5 "need-to-know" punkter fra DORA til dig, som arbejder med finansiel it-outsourcing i dagligdagen.
1. Kom i gang allerede nu
Selvom DORA er trådt i kraft, finder DORA først anvendelse fra den 17. januar 2025. Dog giver forordningen ikke en 'grace-periode' efter denne anvendelsesdato, hvorfor både eksisterende og nye outsourcing-arrangementer skal leve op til reglerne fra den 17. januar 2025. I perioden frem til forordningen finder anvendelse, vil der komme en række nye regler og vejledninger, der skal præcisere reglerne i forordningen.
Det er således vigtigt, at du ikke venter med at påbegynde opdatering af IKT-aftaler og processer til den 17. januar 2025. Du bør allerede nu sikre løbende registrering af IKT-arrangementer frem mod den 17. januar 2025, så du har et godt overblik over aftaler omfattet af DORA. Ligeledes bør du sikre etablering af en stærk intern outsourcing-organisation, hvor IT spiller en central rolle.
Helt lavpraktisk er det også er en god idé at indsætte en klausul i nye løbende aftaler, som giver adgang til at opdatere aftalen inden DORA finder anvendelse, uden at dette medfører en egentlig genforhandling af hele aftalen (og priserne).
2. Nogle regler bliver og andre forsvinder
Den finansielle sektor er underlagt regulering af outsourcing i blandt andet Outsourcingbekendtgørelsen for kreditinstitutter mv., Solvens II-forordningen og Outsourcingbekendtgørelsen for gruppe 2-forsikringsselskaber. Denne regulering fortsætter med at finde anvendelse på alt outsourcing, der ikke er IKT.
Den særlige regulering af cloudoutsourcing, herunder specielt EIOPAs retningslinjer for outsourcing til cloududbydere, vil derimod ikke længere finde anvendelse fra den 17. januar 2025, da cloudoutsourcing i stedet skal følge reglerne i DORA.
Du skal altså være opmærksom på, at jeres cloudoutsourcing ikke skal leve op til kravene i den eksisterende outsourcing-regulering, men derimod alene kravene i DORA.
3. Slut med outsourcing-vurderinger ved IKT-tjenester
Finansielle virksomheder er vant til at foretage en outsourcing-vurdering hver gang, der indgås en aftale med en leverandør. Ved outsourcing-vurderingen skal det fastslås, om aftalen omhandler en aktivitet, der leveres løbende, og ellers ville blive udført af den finansielle virksomhed selv.
Du skal ikke foretage denne vurdering efter DORA. Afgørende er i stedet, om en tredjepartsudbyder (en leverandør) leverer en IKT-tjeneste.
Ved nye aftaler er det således en god idé først at fastslå, om der er tale om en IKT-tjeneste fra en tredjepartsudbyder. I bekræftende fald skal der ikke laves en outsourcing-vurdering af arrangementet efter den 17. januar 2025.
4. Nye kontraktkrav
DORA indeholder en række generelle krav til aftaler om IKT-tjenester og en række særlige krav ved kritiske eller vigtige IKT-arrangementer. Kravene minder generelt om de krav, vi kender fra de eksisterende outsourcing-regler.
Dog skal du være opmærksom på, at der er to nye krav, der er særligt relevante for IT og IT-sikkerhed:
- Du skal i alle aftaler om IKT-tjenester vurdere, om leverandøren skal deltage i jeres interne programmer om IKT-sikkerhed samt interne kurser om digital operationel modstandsdygtighed.
- Du skal ved alle kritiske eller vigtige IKT-arrangementer sikre, at leverandøren forpligter sig til at deltage i jeres TLPT (trusselsbaseret penetrationstest).
Kontraktkravene udspringer af nye interne forpligtelser i DORA-forordningen, og du skal således være opmærksom på at få implementeret interne programmer om IKT-sikkerhed, interne kurser om digital operationel modstandsdygtighed, samt trusselsbaseret penetrationstest som nærmere beskrevet i DORA, ligesom du skal inkludere dette i jeres aftaler om IKT-tjenester.
5. Brug af kritiske tredjepartsudbydere
DORA-forordningen indeholder selvstændige forpligtelser for kritiske tredjepartsudbydere, som er kritiske IT-leverandører, der udpeges på EU-plan. Det forventes, at eksempelvis Microsoft udpeges som kritisk tredjepartsudbyder.
Det er vigtigt at være opmærksom på, at selvom kritiske tredjepartsudbydere underlægges selvstændige forpligtelser under DORA-forordningen, så har du fortsat en forpligtelse til at behandle arrangementet som alle andre IKT-arrangementer. Du skal således stadig lave due diligence, risikovurdering mv. af leverandøren, ligesom du skal sikre, at aftalen lever op til kravene i DORA-forordningen.