Artikkel
Digital Operational Resilience Act (DORA) og krav til kontrakter med IKT- leverandører
Deloitte Advokatfirma
DORA (Digital Operation Resilliance Act) trer i kraft i EU 17. januar 2025 og setter med dette nye standarder for hvordan finanssektoren skal styrke operasjonell motstandskraft. Bakgrunnen for det nye regelverket, er finanssektorens økende risiko for å være avhengig av IKT-relaterte tjenester som blir stadig mer sårbare for forstyrrelser og cyberangrep.
Publisert: 13. november 2024
Kunstig intelligens er med på å transformere finansnæringen ved effektivisering og personalisering. For å legge til rette for trygg, tillitsvekkende og etisk bruk av kunstig intelligens har EU utformet AI Act.
EU har store ambisjoner for Europas digitale tiår, og både DORA og AI Act er brikker i et større puslespill som sammen med en rekke andre reguleringsinitiativer skal bidra til å forme EUs digitale fremtid. Å se de kommende forordningene i sammenheng vil være nødvendig for å sørge for både kostnadseffektiv og robust etterlevelse av regelverk.
For finansvirksomheter, er både DORA og AI Act kritiske regulatoriske rammeverk som påvirker hvordan virksomheten kan utnytte og kontrollere risiko knyttet til digital operasjonell motstandskraft og kunstig intelligens. Begge lovverk setter klare krav til ansvarlighet og kontroll over teknologi og leverandørforhold, noe som fordrer en strategisk tilnærming til hvordan virksomhetene skal tilpasse seg for å sikre konkurransefortrinn og etterlevelse.
Styring av tredjepartsrisiko
En av grunnpilarene i DORA handler om styring av leverandørrisiko. Forordningen stiller eksplisitte krav til hva en kontrakt mellom en finansvirksomhet og deres IKT-leverandører minimum skal inneholde for å sikre en fullstendig monitorering av finansvirksomheten. Krav til innhold strekker seg fra beskrivelser av tjenestene som skal leveres, til bestemmelser som skal sikre dataenes konfidensialitet, integritet og tilgjengelighet. Kontrakter som regulerer tjenester som er ansett som kritiske eller som understøtter viktige funksjoner, har flere krav enn de øvrige.
AI Act har en risikobaserttilnærming hvilket innebærer at forpliktelsene avhenger av hvilken risiko det aktuelle AI-systemet har for individets helse, sikkerhet og grunnleggende rettigheter. Finansvirksomheter som bruker kunstig intelligens ved eksempelvis vurdering av kredittverdighet eller kredittscore, risikovurdering knyttet til enkelte typer forsikring, eller automatisert rådgivning bør vurdere om bruken faller inn under AI Act‘s definisjon av «AI – system» og videre reguleringens klassifisering av risiko. AI systemer som faller inn under høy risiko medfører omfattende krav til blant annet testing, dokumentasjon, og risikohåndtering.
En av de viktigste forberedelsene finansvirksomheter må gjøre fremover er å styrke leverandørstyringen og sikre at dette skjer i tråd med nytt regelverk. For å møte kravene i DORA om leverandørstyring, må virksomhetene:
- Inkludere risiko knyttet til bruk av kunstig intelligens i sine leverandørvurderinger: Leverandører som leverer AI-systemer til finansinstitusjoner må vurderes og klassifiseres etter risiko og følges opp deretter.
- Oppdatere kontrakter for å dekke spesifikke krav knyttet til bruk av AI-systemer: Kontrakter med leverandører som leverer løsninger som benytter AI-systemer bør ha spesifikke klausuler som dekker risiko forbundet med bruk av kunstig intelligens, inkludert krav om innsyn i algoritmiske beslutninger, risikoreduserende tiltak og datakvalitet. Dette kan også innebære krav om revisjoner og at leverandører forplikter seg til å følge både AI Act og DORA.
Kontraktene med IKT-leverandører skal ifølge DORA inneholde bestemmelser om håndtering av hendelser og avvik som kan påvirke driften, og det skal være prosedyrer for varsling, respons og gjenoppretting. Der leverandøren håndterer sensitiv informasjon krever DORA at kontrakten inkluderer bestemmelser om hvordan data lagres, behandles og sikres mot uautorisert tilgang. AI Act har også krav knyttet til blant annet teknisk robusthet og sikkerhet. For å effektivt oppfylle sentrale krav i begge regelverk anbefaler vi at man ser på kravene i sammenheng.
Kontrakten skal ellers inneholde bestemmelser for hvordan avtaleforholdet kan avsluttes på en kontrollert måte uten at det påvirker driften for finansinstitusjonen.
- Styrking av leverandøroversikt og oppfølgingsrutiner: I tråd med DORA er det avgjørende å opprette en oversikt over alle leverandører som er involvert i kritisk teknologi og IT-systemer. Oversikten bør oppdateres jevnlig, og leverandør og kontrakt bør følges opp for å sikre at de fortsatt oppfyller sikkerhetsstandardene. Finansvirksomheter kan med fordel etablere et sentralisert system for leverandøroversikt som muliggjør kontinuerlig overvåking av leverandørenes leveranser og risikoeksponering.
Deloitte Advokatfirma: bistand innen DORA og AI
Deloitte Advokatfirma har bred erfaring med digital regulering og compliance i finanssektoren, og kan tilby bistand til både finansinstitusjoner og IKT-tredjepartsleverandører som ønsker å sikre etterlevelse av krav i både DORA og AI Act.
DORA representerer en omfattende regulering som sikrer at finansinstitusjoner kan håndtere digitale risikoer knyttet til deres IKT-tjenester, spesielt i samarbeid med tredjepartsleverandører. I en tid hvor kunstig intelligens blir stadig mer integrert i digitale løsninger, vil det måtte stilles strengere krav til hvordan AI håndteres gjennom kontrakter. Deloitte Advokatfirma tilbyr bred ekspertise på området og kan bistå med alt fra kontraktsutforming og compliance til håndtering av AI-risiko og exit-strategier.
Ved å samarbeide med Deloitte kan både finansinstitusjoner og deres leverandører være sikre på at de overholder DORA-kravene og samtidig forvalter AI-teknologi på en sikker og ansvarlig måte.