Finanstilsynets lovforslag til NIS2 og DORA sendt i høring: De 10 vigtigste fund til dig med finansiel virksomhed
Finanstilsynet har sendt et udkast til lovforslag til implementering af NIS2 og DORA i høring.
Lovforslaget tager form som et 788 siders langt udkast.
Måske vil du gerne bruge din tid på noget andet end at finde frem til sagens kerne i dét.
Det ville vores Head of Legal, Tobias Løager Andersen, ikke. Faktisk kunne vi ikke stoppe ham. Og gudskelov for dét, for han fik gravet 10 vigtige fund frem til dig, der driver finansiel virksomhed. Og dit lynhurtige overblik kommer her:
#1: DORA dækker bredt
Finanstilsynet anser DORA (Digital Operational Resilience Act) for at dække næsten alle virksomheder indenfor tilsynets ansvarsområde.
#2: NIS2-specifikt fokus
Fælles datacentraler og it-operatører af betalingssystemer til detailhandel er omfattet af NIS2.
#3: Ansvar for revision
Finanstilsynet vil føre tilsyn med de ovennævnte virksomheder med udgangspunkt i NIS2 og DORA. Det juridiske grundlag vil være kapitel 21 og 23 i den danske lov om finansiel virksomhed.
#4: Protokol for indberetning af hændelser
Rapportering af væsentlige hændelser for disse virksomheder skal ske til Finanstilsynet, herunder rapportering af eventuelle meddelelser til de (berørte) modtagere af deres tjenester.
#5: Ekstra tilsynsforanstaltninger
Et forslag lyder, at der skal være supplerende tilsynsforanstaltninger til rådighed for Finanstilsynet udover dem, der er anført i NIS2.
#6: Krav til sikkerhed
For visse virksomheder kan de eksisterende sikkerhedsforpligtelser række ud over minimumskravene i NIS2. I dé tilfælde vil de nuværende strengere krav stå ved magt. Dette med henblik på at opretholde et ensartet sikkerhedsniveau blandt de virksomheder, som er underlagt de nuværende krav.
#7: Skærpede krav til digital infrastruktur
På grund af punkt 6 vil der være mere detaljerede krav til operatører af digitale finansielle infrastrukturer.
#8: Uafhængigt revisionsmandat
Uafhængige kontrolfunktioner skal udføre den virksomhedsinterne revision af rammen for styring af IT- og cyber-risici. Dét forslag adskiller sig fra ordlyden i NIS2, hvor det er skrevet, at det er ledelsen, der skal udføre denne opgave.
#9: Yderligere regler
Finanstilsynet får beføjelse til at offentliggøre detaljerede regler for operatører af digitale finansielle infrastrukturer.
#10: CSIRT-udpegning
Center for Cybersikkerhed fortsætter som Computer Security Incident Response Team (CSIRT) og bliver derfor den ekspertgruppe, som hjælper med håndtering af IT-sikkerhedshændelser.
Husk på, at forslagene er… ja, forslag. Derfor ved vi af gode grunde heller ikke, hvilke der bliver vedtaget ved lov. Og i hvilken grad.
Men vi holder selvfølgelig vores falkeblik ufravigeligt rettet mod alt, hvad der kommer til at ske fremadrettet.
Der er dog rig mulighed for at forberede dig på det, vi allerede ved om NIS2, så du er klar og compliant i tide.
