IKT-hændelsesrapportering (DORA)

Under DORA er finansielle enheder forpligtet til at klassificere og rapportere større IKT-relaterede hændelser til de relevante finansielle tilsynsmyndigheder. Rapporteringen sker i tre faser med fastsatte tidsfrister og via standardiserede formater.

Tilbage til ordbog

Klassifikation af hændelser

DORA kapitel III fastlægger kravene til håndtering og rapportering af IKT-relaterede hændelser. Finansielle enheder skal klassificere hændelser som enten "IKT-relaterede hændelser" eller "større IKT-relaterede hændelser" baseret på specifikke kriterier.

En hændelse klassificeres som "større" baseret på kriterier som:

Antal berørte klienter eller modparter: Jo flere klienter der er berørt, desto højere alvorlighedsklassificering.
Varighed af forstyrrelsen: Længerevarende afbrydelser vægtes højere i klassificeringsvurderingen.
Geografisk udbredelse: Hændelser der påvirker flere jurisdiktioner, klassificeres oftere som større.
Datatab: Påvirkning af fortrolighed, integritet eller tilgængelighed af data.
Kritikaliteten af de berørte tjenester: Forstyrrelser af kritiske finansielle tjenester øger alvoren.
Finansielle tab: Direkte og indirekte økonomisk påvirkning af hændelsen.

Tidsfrister for rapportering

DORA's rapporteringsramme følger et trestrinssystem:

Indledende anmeldelse: Inden for 4 timer efter hændelsen er klassificeret som "større" (og senest 24 timer efter den første opdagelse).
Foreløbig rapport: Inden for 72 timer efter første opdagelse med opdaterede oplysninger og foreløbig årsagsanalyse.
Endelig rapport: Inden for 1 måned efter indsendelse af den foreløbige rapport med komplet analyse og afhjælpende foranstaltninger.

Standardiserede formater: DORA kræver, at finansielle enheder benytter standardiserede rapporteringsformater, der er fastsat af de europæiske tilsynsmyndigheder (EBA, ESMA, EIOPA). Dette sikrer ensartet datakvalitet på tværs af EU's finansielle sektor og muliggør effektiv grænseoverskridende koordinering.

Hvem rapporterer du til?

Rapportering under DORA sker til den kompetente tilsynsmyndighed for den pågældende finansielle enhed:

Kreditinstitutter: Finanstilsynet (og for systemisk vigtige banker: ECB).
Forsikringsselskaber: Finanstilsynet.
Investeringsselskaber: Finanstilsynet.

De finansielle tilsynsmyndigheder videreformidler anonymiserede hændelsesoplysninger til de nationale CSIRT'er og til de europæiske tilsynsmyndigheder.

Ofte stillede spørgsmål om ikt-hændelsesrapportering (dora)

Hvornår skal en IKT-hændelse rapporteres under DORA?

Under DORA skal "større IKT-relaterede hændelser" rapporteres. Den indledende anmeldelse skal ske inden for 4 timer efter klassifikation som "større" og senest 24 timer efter første opdagelse. Herefter følger en foreløbig rapport inden 72 timer og en endelig rapport inden 1 måned.

Skal man rapportere til både DORA og NIS2?

Nej. For finansielle enheder gælder DORA som lex specialis i forhold til NIS2. Rapportering under DORA opfylder de tilsvarende NIS2-rapporteringskrav. Finansielle tilsynsmyndigheder koordinerer med de nationale CSIRT'er.

Hvad kvalificerer som en større IKT-relateret hændelse?

En hændelse klassificeres som større baseret på kriterier som antal berørte klienter, forstyrrelsens varighed, geografisk udbredelse, datatab, kritikaliteten af berørte tjenester og finansielle tab. De europæiske tilsynsmyndigheder har udstedt tekniske standarder med præcise tærskler.

Hvad sker der, hvis en finansiel enhed ikke rapporterer en hændelse rettidigt?

Manglende overholdelse af DORA's rapporteringsforpligtelser kan medføre administrative sanktioner fra den kompetente tilsynsmyndighed. De specifikke sanktioner varierer fra medlemsstat til medlemsstat, men kan omfatte bøder og offentlig misbilligelse.

Kan man frivilligt rapportere væsentlige cybertrusler under DORA?

Ja. DORA artikel 19 giver finansielle enheder mulighed for frivilligt at underrette den kompetente myndighed om væsentlige cybertrusler, når de vurderer, at truslen er relevant for det finansielle system, selv om truslen endnu ikke har resulteret i en hændelse.