Hej! Vi är ett bolag med AISP licens och rapporterar varje år ti

Fråga:

Hej! Vi är ett bolag med AISP licens och rapporterar varje år till Finansinspektionen. Vi rapporterar Penningtvätt, fraudulent payments och operativa risker. Behöver vi rapportera något för DORA? Om ja, hur vet vi vad vi ska rapportera?

Besvarad av:

Tomas Jalling

Senior affärsjurist

Tomas har en bred bakgrund inom ledning och utveckling av juridiska funktioner, med erfarenhet från både privata företag och organisationer inom den offentliga sektorn. Genom LegalWorks har han haft flera tillfälliga roller som chefsjurist och bolagsjurist, där han har stöttat organisationer under perioder av tillväxt, omvandling och regeländringar. Hans arbete kännetecknas av pragmatiskt omdöme, tydlig kommunikation och en stark förmåga att översätta komplexa juridiska krav till kommersiellt förankrade lösningar.

Visa profil

Omfattas ni av DORA?

Ja. Leverantörer av kontoinformationstjänster (AISP) listas uttryckligen i DORA Art. 2.1(c) som finansiella verksamheter och träffas direkt av förordningen. Dessutom framgår av skäl 37 till DORA att AISP explicit inkluderas i kretsen av verksamheter som träffas av DORA. Det spelar ingen roll om ni är registrerade snarare än tillståndspliktiga – en registrerad AISP enligt PSD2 Art. 33 är inte undantagen.

 

Vad ska rapporteras?

DORA ersätter er nuvarande skyldighet att rapportera allvarliga operativa incidenter och säkerhetsincidenter enligt PSD2/betaltjänstlagen med ett nytt harmoniserat system, och tillför därutöver krav på hantering av IKT-risk och tredjepartsrisk som inte har någon direkt motsvarighet i PSD2/betaltjänstlagen. De viktigaste skyldigheterna är:

  • Incidentrapportering (Art. 19 DORA): Allvarliga IKT-relaterade incidenter och betalningsrelaterade säkerhetsincidenter ska rapporteras till FI i tre steg – initialrapport, interimrapport och slutrapport. Vad som är "allvarligt" avgörs av trösklar i EBA:s tekniska standarder (RTS/ITS), bl.a. antal berörda användare, varaktighet och geografisk spridning. Detta är alltså en separat rapporteringskanal från AML-rapporteringen.

  • IKT-tredjepartsrisk (Art. 28–30 DORA): Ni måste dokumentera och övervaka era egna IT-leverantörer och säkerställa att avtal med dem innehåller DORA-föreskrivna klausuler (SLA, säkerhetskrav, revisionsrätt, exitstrategi).

  • IKT-riskhantering (Art. 5–15 DORA): Ni ska ha ett dokumenterat ramverk för hantering av IKT-risker. Ledningsorganet bär det yttersta ansvaret.

 

Finns det lättnader för en AISP?

Det finns inga lättnader i kraven för just AISP, men verksamhetens storlek har betydelse. Klassificeras ni som mikroföretag (under 10 anställda och under 2 MEUR i omsättning/balansomslutning) gäller ett antal undantag – ni slipper bl.a. kravet på avancerad hotbildsstyrd penetrationstestning (TLPT), kravet på en separat IKT-riskövervakning i tre försvarslinjer, och formell strategi för IKT-tredjepartsrisk. Det viktigaste när det gäller vilka krav som faktiskt ställs på er är vad som kallas proportionalitetsprincipen (Art. 4 DORA) och som innebär att kraven alltid ska anpassas efter en verksamhets storlek och komplexitet.

 

Praktisk rekommendation

Gör en gapanalys mot DORA:s krav med utgångspunkt i er storlek. Det mest akuta är att upprätta en incidentklassificeringsprocess kopplad till EBA:s trösklar och granska era leverantörsavtal.

[email protected] +46 73 320 70 21

Redo att ta kontroll över din juridik?

Starta en kostnadsfri provperiod idag eller boka en kostnadsfri coaching med en jurist. Du förbinder dig inte till något, och du öppnar dörren till smidigare, säkrare juridik.