30 januari 2024
1 Bakgrund
Wesslau Söderqvist Advokatbyrå har tidigare informerat om förordningen om digital operativ motståndskraft i den finansiella sektorn, nedan DORA, som ska börja tillämpas den 17 januari 2025. Finansdepartementet har nyligen publicerat en promemoria med förslag till en ny lag med bestämmelser som ska komplettera DORA. Den nya lagen och ändringarna i näringsrättslig reglering föreslås träda i kraft samma datum som DORA. Nedan redogörs för de huvudsakliga delarna i förslaget.
2 Förslaget
2.1 IKT-relaterade incidenter och cyberhot
I DORA ges medlemsstater ett utrymme att bestämma vad som ska gälla för rapportering av IKT-relaterade incidenter och frivillig anmälan av cyberhot. Medlemsstater ges även ett utrymme att fastställa om finansiella entiteter som rapporterar frivilligt får vidarebefordra en anmälan till de CSIRT-enheter som utsetts eller inrättats i enlighet med NIS2-direktivet.
I förslaget framhålls att det är av särskild vikt att relevanta myndigheter informeras om allvarliga IKT-relaterade incidenter och betydande cyberhot så snart det är möjligt. För finansiella entiteter är det Finansinspektionen, som tillsynsmyndighet, som ska få informationen. Finansinspektionen ska i sin tur skyndsamt lämna över informationen till den myndighet eller CSIRT-enhet som inrättats enligt NIS2-direktivet. I promemorian föreslås att Sverige inte bör utnyttja mallarna i DORA för att reglera vilken information som ska lämnas till behörig myndighet eller CSIRT-enhet enligt NIS2-direktivet.
Det föreslås även att möjligheten att införa en bestämmelse där finansiella entiteter som frivilligt rapporterar om allvarligt cyberhot dessutom får vidarebefordra anmälan till den enligt NIS2-direktivet utsedda myndigheten inte ska utnyttjas.
2.2 Hotbildsstyrda penetrationstester
I promemorian föreslås att Finansinspektionen ska få bestämma vilka finansiella entiteter som ska genomföra hotbildsstyrda penetrationstester och hur ofta dessa tester ska ske. Det är Riksbanken som ska övervaka och samordna de hotbildsstyrda penetrationstesterna. Riksbanken ska även utfärda intyg om att testerna uppfyller de krav som uppställs i DORA-förordningen.
Finansinspektionen och Riksbanken ska samarbeta bl.a. genom att Riksbanken ska få möjlighet att yttra sig innan Finansinspektionen fattar beslut om vilka finansiella entiteter som ska genomföra hotbildsstyrda penetrationstester. Vice versa bör Finansinspektionen beredas möjlighet att yttra sig innan Riksbanken fattar beslut som påverkar Finansinspektionens tillsynsverksamhet.
2.3 Tillsyn
Finansinspektionen ska enligt förslaget ha tillsyn över att finansiella entiteter följer DORA och den föreslagna kompletteringslagen. Tillsynen ska omfatta att Finansinspektionen kan förelägga en fysisk eller juridisk person att tillhandahålla uppgifter, handlingar eller annat. Finansinspektionen föreslås även få rätt att utföra platsundersökningar om det är nödvändigt.
2.3.1 Ingripanden mot finansiella aktörer
I promemorian föreslås inte några bestämmelser innebärande straffansvar för överträdelser av DORA. Däremot föreslås ingripanden mot finansiella aktörer som helhet samt för vissa företrädare av dessa. Förslaget är att den kompletterande lagen till DORA bör inkludera en bestämmelse som informerar om att regler för åtgärder vid överträdelser av DORA återfinns i de lagar som styr finansiella aktörers verksamhet.
2.3.2 Ingripanden mot fysiska personer som företrädare för finansiella entiteter
Även vad gäller ingripande mot vissa företrädare för finansiella aktörer finns idag bestämmelser i rörelselagarna på finansmarknadsområdet. Finansinspektionens möjlighet att ingripa i dessa fall är dock begränsad till överträdelser av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism eller rörelselagarna.
Finansinspektionen ska få ingripa mot någon i styrelsen eller vd för en finansiell aktör. Det ska även omfatta ersättare för dessa. Ingripandet ska kunna ske om någon av dessa personer har åsidosatt sina skyldigheter enligt DORA. Det ska krävas att den finansiella aktörens överträdelse är allvarlig och att den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen. Ingripandet kan resultera i två olika administrativa sanktioner, eller de båda i förening. Antingen får den fysiska personen en sanktion som innebär att personen, under lägst tre men högst tio år, inte får vara styrelseledamot, vd eller ersättare för någon av dem.
Den andra möjliga sanktionen är en sanktionsavgift.
3 Wesslau Söderqvist Advokatbyrås rekommendationer
Wesslau Söderqvist Advokatbyrå rekommenderar fortsatt att finansiella aktörer säkerställer att tillräckliga skyddsåtgärder vidtas i syfte att efterleva DORA och minska risken för IKT-incidenter. Det är viktigt att uppdatera och revidera interna rutiner, policys och riktlinjer för att spegla kompletteringslagens och DORA:s krav. Finansiella aktörer bör vidare se till att det finns tydliga processer för att följa upp och reagera på eventuella förelägganden från tillsynsmyndigheten.
Mot bakgrund av att fysiska personer som företrädare för finansiella entiteter kan åläggas sanktioner bör det i organisationen vara tydligt vilket ansvar som ledningen har för att efterleva DORA. Roller och ansvarsområden ska utryckas tydligt i interna riktlinjer på området.
Wesslau Söderqvist Advokatbyrå vill understryka vikten av att öka medvetenheten inom hela organisationen om cybersäkerhet och efterlevnaden av reglerna.
Har ni frågor med anledning av det ovanstående är ni välkomna att kontakta Wesslau Söderqvist Advokatbyrå.
Kristina Jonsson
+46 (0)8-407 88 09
kristina.jonsson@wsa.se
Johan Grenefalk
+46 (0)8-407 88 09
johan.grenefalk@wsa.se