DORA-forordningen styrker cyber- og informationssikkerheden inden for den finansielle sektor

Den 16. januar 2023 trådte Europa-Parlamentets og Rådets Forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i kraft, på engelsk kendt som Digital Operational Resilience Act (»DORA«).

DORA-forordningen er rettet mod den finansielle sektor og har til formål at styrke finansielle virksomheders modstandsdygtighed over for forestående cyber- og informationssikkerhedshændelser. Forordningen er samtidig en del af en større lovpakke, der sigter mod at forbedre og harmonisere kravene til it-sikkerhed i EU.

DORA-forordningen fastsætter specifikke og detaljerede krav til sikkerheden i net- og informationssystemer, der skal sætte de finansielle virksomheder i stand til at modstå og reagere på cyber- og informationssikkerhedshændelser, således at de kan forsætte med at levere deres finansielle ydelser og minimere forstyrrelser for kunder og samfundet. Forordningens krav finder anvendelse på en bred vifte af finansielle virksomheder, herunder betalingstjenesteudbydere, kreditinstitutter, pengeinstitutter, pensionsselskaber og forsikringsselskaber.

Forordningens øgede krav til cybersikkerhed indebærer samtidig ændringer i den måde, hvorpå de finansielle virksomheder håndterer deres cyber- og informationssikkerhed. Fremover skal de finansielle virksomheder bl.a. have et cybersikkerhedsprogram, der omfatter politikker, procedurer og risikostyringsaktiviteter.

DORA-forordningen vil finde anvendelse for de finansielle virksomheder fra den 17. januar 2025. Det forventes, at der i implementeringsperioden vil blive foretaget ændringer og tilpasninger i de nuværende danske regler.

Læs forordningen her:
https://eur-lex.europa.eu/legal-content/DA/TXT/?uri=CELEX%3A32022R2554

DSA-forordningen skærper kravene til digitale formidlingstjenester

Den 16. november 2022 trådte Europa-Parlamentets og Rådets Forordning (EU) 2022/2065 af 19. oktober 2022 om et indre marked for digitale tjenester i kraft. Forordningen, der går under navnet Digital Services Act (»DSA«), regulerer digitale formidlingstjenester i deres rolle som bindeled mellem brugere, der udveksler information, varer eller tjenesteydelser. Formidlingstjenester omfatter bl.a. sociale medier, digitale markedspladser og søgemaskiner.

DSA-forordningen udgør en del af en større lovpakke, der har til formål at modernisere reguleringen af de digitale markeder i EU. DSA-forordningen indfører derfor en række omfattende ændringer af Europa-Parlamentets og Rådets direktiv 2000/31/EF af 8. juni 2000 (»e-handelsdirektivet«), som blev vedtaget for mere end 20 år siden. Disse ændringer er udtryk for et øget ansvar for formidlingstjenesterne samt en større kontrol af disse, hvilket skal være med til at bidrage til et mere sikkert, gennemsigtigt og ansvarligt onlinemiljø.

DSA-forordningens omfattende regelsæt indeholder blandt andet i) nye regler for formidlingstjenesters ansvar for nedtagning af ulovligt indhold, ii) regler for reklamer på formidlingstjenesterne, herunder skærpelser af kravene for indhold tilgængeligt for mindreårige, iii) en forpligtelse for formidlingstjenester til at sikre brugerne adgang til at anmelde ulovligt indhold på formidlingstjenesterne og iv) forbud mod såkaldte ’dark patterns’, der er en påvirkningsteknik, som har til hensigt at vildlede brugerne til at træffe en beslutning, som de ellers ikke ville have truffet.

Sanktionerne for overtrædelse af DSA-forordningen er ikke ubetydelige, idet formidlingstjenesterne kan sanktioneres med op til 6 % af deres samlede årlige indtægt eller omsætning.

Læs forordningen her:
https://eur-lex.europa.eu/legal-content/DA/TXT/HTML/?uri=CELEX:32022R2065&from=EN#d1e1527-1-1

NIS2-direktivet sikrer et højere cybersikkerhedsniveau

Den 16. januar 2023 trådte Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen (»NIS2«) i kraft. NIS2-direktivet er en videreudvikling af Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (»NIS«), hvis formål var at styrke det generelle cybersikkerhedsniveau i EU.

Formålet med det nye NIS2-direktiv, der erstatter NIS-direktivet, er at yderligere styrke og ensarte cyber- og informationssikkerheden i EU som følge af en stigende cybertrussel. NIS2-direkivet indeholder derfor flere og mere omfattende krav, ligesom anvendelsesområdet udvides til at omfatte flere sektorer og aktører, som anses for værende kritiske for samfundet og økonomien.

Mere konkret er anvendelsesområdet for NIS2-direktivet udvidet til at gælde virksomheder, organisationer og myndigheder, der kategoriseres som »væsentlige enheder« eller »vigtige enheder«. Disse begreber er nærmere defineret i direktivet og indeholder rum til fortolkning. Derudover udvides omfanget af sektorer således, at reglerne blandt andet også gælder for sektorer som fødevareproduktion, affaldshåndtering og hele forsyningskæden. Den samlede liste over omfattede sektorer kan findes i NIS2-direktivets bilag 1 og 2.

Af de væsentligste krav i NIS2-direktivet kan nævnes risikostyring, sikkerhedsforanstaltninger, etablering af nødprocedurer, ledelsesmæssig forankring og processer for rapportering til tilsynsmyndighederne. Desuden introduceres der strengere sanktioner, som blandt andet skal være effektive og have afskrækkende virkning.

NIS2-direktivet har implementeringsfrist i Danmark den 17. oktober 2024, hvorefter de nationale bestemmelser og love skal anvendes og håndhæves fra den 18. oktober 2024.

Læs hele direktivet her:
https://eur-lex.europa.eu/legal-content/DA/TXT/HTML/?uri=CELEX:32022L2555&from=EN-d1e4509-80-1