Artikel 45 Arrangemang för utbyte av information och underrättelser om cyberhot

Summary What does Article 45 of the DORA regulation say?

This article addresses the voluntary sharing of cyber threat information between financial entities.

It permits financial entities to exchange threat intelligence — such as indicators of compromise, tactics, and procedures — provided that this sharing is aimed at strengthening digital operational resilience, takes place within trusted communities, and is conducted under formal arrangements that safeguard business confidentiality, personal data, and competition rules.

The article also sets out what those information-sharing arrangements must cover in terms of governance and participation, and imposes a notification obligation on financial entities toward their competent authorities.

Important points:

You may share cyber threat information and intelligence with other financial entities, but only within trusted communities and under formal arrangements that comply with data protection and competition rules.
Information-sharing arrangements must define conditions for participation, including the potential roles of public authorities and ICT third-party service providers.
Notify your competent authority upon joining or leaving any such information-sharing arrangement.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Finansiella entiteter får sinsemellan utbyta information och underrättelser om cyberhot, inbegripet indikatorer på äventyrad säkerhet, taktiker, tekniker och förfaranden, cybersäkerhetsvarningar och konfigurationsverktyg, i den mån sådant utbyte av information och underrättelser
  1. syftar till att förbättra finansiella entiteters digitala operativa motståndskraft, särskilt genom att öka medvetenheten om cyberhot, begränsa eller hindra cyberhotens spridningsförmåga, varvid försvarsförmåga, metoder för att upptäcka hot, begränsningsstrategier eller åtgärds- och återställningsfaser stöds,
  2. äger rum inom betrodda grupper av finansiella entiteter,
  3. genomförs genom arrangemang för informationsutbyte som skyddar den potentiellt känsliga karaktären hos den information som utbyts och som styrs av uppföranderegler med full respekt för affärshemligheter, skydd av personuppgifter i enlighet med förordning (EU) 2016/679 och riktlinjer för konkurrenspolitiken.
1. Vid tillämpning av punkt 1 c ska arrangemangen för informationsutbyte innehålla fastställda villkor för deltagande och, när så är lämpligt, närmare uppgifter om offentliga myndigheters deltagande och på vilket sätt dessa kan knytas till arrangemangen för informationsutbyte, om deltagandet av tredjepartsleverantörer av IKT-tjänster och om operativa delar, inbegripet användningen av särskilda it-plattformar.
1. Finansiella entiteter ska underrätta de behöriga myndigheterna om sitt deltagande i de arrangemang för informationsutbyte som avses i punkt 1, när deras medlemskap har godkänts eller, i tillämpliga fall, när medlemskapet upphör, så snart så har skett.

Relevant recitals

Skäl 32 Importance of information sharing to prevent cyber threats

I och med att IKT-risker blir alltmer komplexa och sofistikerade kommer effektiva åtgärder för att upptäcka och förebygga IKT-risk att i hög grad vara beroende av regelbundet utbyte mellan finansiella entiteter av underrättelser om hot och sårbarhet. Informationsutbyte bidrar till att skapa ökad medvetenhet om cyberhot. Detta ökar i sin tur finansiella entiteters förmåga att förhindra att cyberhot blir verkliga IKT-relaterade incidenter, och gör det möjligt för finansiella entiteter att på ett mer effektivt sätt begränsa IKT-relaterade incidenters inverkan och att återhämta sig snabbare. I avsaknad av vägledning på unionsnivå verkar flera faktorer ha hindrat sådant utbyte av underrättelser, särskilt osäkerhet om förenligheten med dataskyddsregler, antitrustregler och ansvarsregler.

Skäl 33 Fragmented information sharing and the need for strengthening communication channels

Dessutom leder tveksamheter om vilken typ av information som kan delas med andra marknadsaktörer, eller med myndigheter som inte är tillsynsmyndigheter (t.ex. Enisa, för analytiskt underlag, eller Europol, för brottsbekämpande ändamål) till att användbar information inte lämnas ut. Omfattningen av och kvaliteten på informationsutbytet är därför i nuläget fortfarande begränsad och fragmenterad, med relevanta utbyten som oftast görs lokalt (via nationella initiativ) och inga enhetliga unionsomfattande arrangemang för informationsutbyte som är anpassade till behoven i ett integrerat finansiellt system. Det är därför viktigt att stärka dessa kommunikationskanaler.

Skäl 34 Voluntary information-sharing arrangements for financial entities

Finansiella entiteter bör därför uppmuntras att sinsemellan utbyta information och underrättelser om cyberhot, och kollektivt utnyttja sina individuella kunskaper och praktiska erfarenheter på strategisk, taktisk och operativ nivå i syfte att förbättra sin förmåga att på lämpligt sätt bedöma, övervaka, försvara och reagera på cyberhot genom att delta i arrangemang för informationsutbyte. Det är därför nödvändigt att på unionsnivå möjliggöra framväxten av mekanismer för frivilligt informationsutbyte som, när de genomförs i betrodda miljöer, skulle hjälpa finanssektorn att förebygga och kollektivt reagera på cyberhot genom att snabbt begränsa spridningen av IKT-risk och hindra potentiella spridningseffekter genom de finansiella kanalerna. Dessa mekanismer bör överensstämma med unionens tillämpliga konkurrensrättsliga regler som anges i kommissionens meddelande av den 14 januari 2011 med titeln Riktlinjer för tillämpningen av artikel 101 i fördraget om Europeiska unionens funktionssätt på horisontella samarbetsavtal samt med unionens dataskyddsregler, särskilt Europaparlamentets och rådets förordning (EU) 2016/679(¹³). De bör fungera på grundval av en eller flera av de rättsliga grunder som fastställs i artikel 6 i den förordningen, till exempel i samband med sådan behandling av personuppgifter som är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, enligt artikel 6.1 f i den förordningen, liksom i samband med den behandling av personuppgifter som är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige, som är nödvändig för att utföra en uppgift i allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, enligt artikel 6.1 c respektive e i den förordningen.

Skäl 52 Information sharing between authorities and financial entities

Direkt rapportering bör göra det möjligt för finansiella tillsynsmyndigheter att få omedelbar tillgång till information om allvarliga IKT-relaterade incidenter. Finansiella tillsynsmyndigheter bör i sin tur vidarebefordra närmare detaljer om allvarliga IKT-relaterade incidenter till offentliga icke-finansiella myndigheter (t.ex. behöriga myndigheter och gemensamma kontaktpunkter enligt direktiv (EU) 2022/2555, nationella dataskyddsmyndigheter och brottsbekämpande myndigheter för allvarliga IKT-relaterade incidenter av brottslig karaktär) för att öka dessa myndigheters medvetenhet om sådana incidenter, och vad gäller CSIRT-enheter, för att underlätta snabbt stöd som kan ges till finansiella entiteter när så är lämpligt. Dessutom bör medlemsstaterna kunna avgöra huruvida finansiella entiteter själva bör tillhandahålla sådan information till offentliga myndigheter utanför området för finansiella tjänster. Dessa informationsflöden bör göra det möjligt för finansiella entiteter att snabbt dra fördel av relevanta tekniska uppgifter, råd om åtgärder och uppföljning från sådana myndigheter. Informationen om allvarliga IKT-relaterade incidenter bör förmedlas ömsesidigt: de finansiella tillsynsmyndigheterna bör ge all nödvändig återkoppling eller vägledning till den finansiella entiteten, medan de europeiska tillsynsmyndigheterna bör dela anonymiserade uppgifter om cyberhot och sårbarheter i samband med en incident, till stöd för ett bredare kollektivt försvar.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.