Når regeringen inden længe implementerer EU’s DORA-forordning, vil man holde skarpt øje med, hvor hårde sanktioner der lægges op til, hvis en finansiel virksomhed ikke efterlever kravene til cybersikkerhed. Missionen er bl.a. at få stoppet outsourcing til tech-giganter uden for EU, skriver journalist Henrik Denta.
Den finansielle sektor i Danmark og i EU har outsourcet alt for meget it til tech-giganter uden for EU. Dermed har den mistet kontrollen over egen cybersikkerhed. Kontrollen og tilsynet skal tilbage til EU. Netop det omhandler den nye DORA-forordning, Digital Operational Resilience Act. I et notat sætter regeringen selv navne på, hvem de danske finansvirksomheder har outsourcet mest til: ”Med forslaget lægges der op til at forbyde brugen af kritiske it-leverandører, som ikke er etableret i EU. Forventningen fra Kommissionens side er, at ca. 10-15 virksomheder vil være omfattede. Eksempler på mulige kandidater er bl.a. Bloomberg, Amazon Web Services, Refinitiv, Google, Microsoft, Alibaba, Huawei, Apple og Cisco,” står der i notatet.
Begrænsning af valgmuligheder
Brancheforeningen Finans Danmark er begyndt at analysere konsekvenserne af de nye regler.
”Bestemmelsen kan medføre en begrænsning af valgmulighederne for finanssektoren, der ikke kan benytte sig af leverandører, der ikke er etableret i EU. Dette kan påvirke konkurrenceevne, innovation og effektivitet. Imidlertid forventer vi, at store it-leverandører vil tilpasse sig den kommende regulering fra DORA, f.eks. ved at etablere sig i EU. På samme måde som de har tilpasset sig GPDR-bestemmelserne,” siger Mette Stürup, kontorchef i Finans Danmark.
Hos advokatfirmaet Kromann Reumert er partner og advokat Christel Teglers ikke i tvivl om, at de nye krav får store konsekvenser: ”Det kommende europæiske tilsynsregime er det første af sin art i verden, der giver de finansielle tilsyn mulighed for at overvåge kritiske cloudog it-leverandører. Det er potentielt ganske indgribende for de store leverandører, men skal omvendt ses i lyset af den koncentrationsrisiko, de udgør.”
Den finansielle sektor er fuldstændig klar over, hvor ødelæggende et angreb på deres it-systemer kan være.
Men samtidig befinder mange af deres it-leverandører sig altså uden for EU, og derfor skal der nu indføres en sæt fælles regler for finansielle virksomheder i hele EU.
”Man kan diskutere det hensigtsmæssige i at lovregulere en risikostyringsdisciplin så detaljeret. Men realiteten er også, at det er gået for langsomt, særligt på det strategiske og taktiske niveau. Reglerne vil samlet set bidrage til at øge samfundets og EU’s modstandsdygtighed på det digitale område,” siger Christel Teglers.
Ifølge Finans Danmark kommer især de mindre og mellemstore virksomheder i den finansielles sektor til at mærke konsekvenserne.
”Med DORA bliver der flere krav til mindre og mellemstore institutter. Det kan medføre øgede omkostninger og administrative byrder for dem. For eksempel vil de også skulle gennemføre regelmæssige test af operationel modstandsdygtighed. Det har de ikke tidligere deltaget i,” siger Mette Stürup.
Men med flere krav kommer også flere sanktioner. I Danmark vil det blive Finanstilsynet, der fremover kan udstede påbud og bøder, kræve ændret adfærd eller udlevering af optegnelser over datatrafik og udtale kritik af virksomheder.
Ansvar bredes ud
Og så skal de finansielle virksomheder virkelig til at kigge efter, hvem der egentlig sidder med hvilket ansvar. For et egentligt erstatningsansvar vil ikke længere begrænse sig til personer i direktionen eller bestyrelsen. Ifølge Kromann Reumert er der ikke noget entydigt svar på, hvem der har det endelige ansvar, udover at det er den persongruppe, som reelt udøver ledelsen, der kan gøres ansvarlig.
”I Danmark har vi ikke set ansvarsager inden for cybersikkerhed endnu, kun banksager som eksempelvis Amagerbanken og Eik bank. Men der har været sager om cybersikkerhed i både USA og Tyskland, og sagerne kan komme fra både ejerkredsen, investorer, hovedaktionærer, kunder og leverandører, hvis en virksomhed har udvist uforsigtig adfærd med deres it-sikkerhed og har afstedkommet et tab” siger Christel Teglers fra Kromann Reumert.
Hos Finans Danmark vil man gerne lige se et lovforslag, før man vil kommentere sanktioner. ”Sanktionsbestemmelserne skal implementeres i dansk ret. Vi afventer derfor den endelige udformning af reglerne på området,” siger Mette Stürup.
Henrik Denta
Vær et skridt foran
Få unik indsigt i de vigtigste erhvervsbegivenheder og dybdegående analyser, så du som investor, rådgiver og topleder kan handle proaktivt og kapitalisere på ændringer.
- Vi filtrerer støjen fra den daglige nyhedscyklus og analyserer de mest betydningsfulde tendenser.
- Du får dybdegående og faktatjekket journalistik om vigtige erhvervsbegivenheder lige nu.
- Adgang til alle artikler på ugebrev.dk.
