En stabil och väl fungerande finansmarknad för allaEn stabil och väl fungerande finansmarknad för allaRapportering av allvarliga IKT-relaterade incidenter och betydande cyberhot
Från och med den 17 januari 2025 gäller nya regler för rapportering av allvarliga IKT-relaterade incidenter enligt kraven i Dora-förordningen. Finansiella företag som berörs av Dora-förordningen och som står under FI:s tillsyn ska rapportera allvarliga IKT-relaterade incidenter till FI. Utöver den obligatoriska rapporteringen av incidenter finns regler för frivillig rapportering av betydande cyberhot.
Allvarliga IKT-relaterade incidenter
Kraven på rapportering av allvarliga IKT-relaterade incidenter framgår av artikel 19 i Dora-förordningen och enligt 3 § FI:s föreskrifter (FFFS 2024:20) om rapportering av incidenter och informationsregister enligt EU:s förordning om digital operativ motståndskraft (Dora-föreskrifterna).
Kopplat till Dora-förordningen finns två tekniska standarder som beskriver detaljer för rapporteringen:
- en delegerad förordning (RTS) som specificerar innehåll, tidslinjer och format för rapporteringen
- en genomförandeförordning (ITS) som specificerar de standardiserade format och mallar som företag ska använda sig av vid rapporteringen.
Enligt artikel 5 i den delegerade förordningen (RTS) ska finansiella företag lämna in rapporter i tre steg enligt följande tidsfrister:
- Den första rapporten: Så tidigt som möjligt, men under alla omständigheter, inom fyra timmar från det att incidenten klassificerats som en allvarlig IKT-relaterad incident och senast 24 timmar efter det att den finansiella entiteten har blivit medveten om incidenten.
- Delrapport: Senast inom 72 timmar från det att den första anmälan lämnades in, även om statusen för incidenten eller hanteringen av den inte har förändrats på det sätt som avses i artikel 19.4 b i Dora-förordningen. Finansiella entiteter ska utan onödigt dröjsmål och under alla omständigheter så snart normal verksamhet har återupptagits lämna in en uppdaterad delrapport.
- Slutrapporten: Senast en månad efter antingen inlämnandet av delrapporten eller, i tillämpliga fall, efter den senaste uppdaterade delrapporten.
Det är upp till den finansiella entiteten att säkerställa att incidentrapporterna inte innehåller säkerhetsskyddsklassificerade uppgifter.
Betydande cyberhot
Enligt Dora-förordningen får finansiella företag även rapportera betydande cyberhot till Finansinspektionen. Denna rapportering sker på frivillig basis och framgår av artikel 19.2 i Dora.
Rapportering om betydande cyberhot kan göras när företaget anser att hotet är relevant för det finansiella systemet, tjänsteanvändarna eller kunderna. Format och innehåll för denna rapportering beskrivs också i de tekniska standarderna, det vill säga den delegerade förordningen (RTS) och genomförandeförordningen (ITS).
FI:s rapporteringssystem
För de företag som ska rapportera till Finansinspektionen är det FI:s vanliga inrapporteringsplattform Fidac som ska användas. Se länkar nedan för teknisk information om rapporteringen.
- Rapportering av incidenter och cyberhot
- Ny Dora-rapportering om incidenter och cyberhot (2025-03-20)
- Blanketter
- Delegerad förordning (EU-kommissionen)
- Genomförandeförordning (EU-kommissionen)
- Föreskrifter (FFFS 2024:20) om rapportering av incidenter och informationsregister enligt EU:s förordning om digital operativ motståndskraft för finanssektorn
- Dora-rapportering av incidenter och cyberhot: teknisk information (2025-01-14)
Senast granskad: 2025-03-31
