Månadens fråga

Vår partner Rosholm Dell Advokatbyrå har rollen som månadens besvarare av styrelserelaterade frågor med inriktning på affärsjuridik. Välkommen att mejla sydost@styrelseakademien.se om du har en fråga till Anders Rosholm och Per Gruwberger på advokatbyrån. Vi tackar också Nils-Erik Persson som varit vår styrelseexpert 2019-2023.
Du hittar längst ned samlingsdokument för alla tidigare frågor och svar!

Månadens fråga om att DORA-förordningen – feb 2025

Fråga: Bolaget där jag sitter i styrelsen, behöver följa DORA-förordningen som trätt i kraft januari 2025. Vi har vidtagit åtgärder för att följa den men har också förstått att DORA kräver att man regelbundet måste arbeta med förordningens krav som kan komma att förändras och utvecklas.
I samband med det arbetet fick vi även veta att vi bör se över våra policys kopplade till GDPR. Vi har inte de resurser som krävs för att tillsätta personal eller ständigt driva projekt för att hålla koll på DORA, GDPR och liknande regelverk. Vi undrar därför hur vi bör arbeta för att upprätthålla regelefterlevnad, i förhållande till exempelvis DORA och GDPR, på ett resurseffektivt sätt?

Svar: DORA-förordningen från EU – Digital Operational Resilience Act – handlar om att stå emot, svara på och återhämta sig från alla typer av IKT-relaterade störningar och hot. Förordningen medför krav på samtliga aktörer på finansmarknaden, bl a bankervärdepappersföretag och försäkringsbolag.

Det medför ett kontinuerligt arbete med digital säkerhet för de bolag som omfattas samt de som omfattas indirekt genom krav från kunder. Detsamma gäller avseende GDPR och datahantering. För att hantera de föränderliga kraven är det därför viktigt att etablera tydliga rutiner som möjliggör anpassning till nya riktlinjer, utan att det tar för mycket resurser i anspråk. Detta är en svår balansgång då risken med att tillsätta för lite resurser kan leda till exempelvis sanktioner, samtidigt som att tillsätta för mycket resurser kan bli överflödigt och påverka bolaget negativt på andra sätt.

Det finns dock flera kostnadseffektiva sätt att hålla sig uppdaterade och anpassa sig efter regelverk som ständigt utvecklas. Till exempel kan ni prenumerera på officiella nyhetsbrev och informationskanaler från myndigheter, EU-organ och branschforum för att få reda på viktiga uppdateringar. Ni kan även implementera digitala verktyg, såsom automatiska RSS-flöden, alert-tjänster och nyhetsaggregatorer, som bevakar regulatoriska förändringar. Det finns dessutom mycket kostnadsfritt utbildningsmaterial samt utbildningstillfällen som erbjuds av både offentliga och privata aktörer som arbetar med regelverken.

Det är viktigt att komma ihåg att ni behöver förvalta och upprätthålla det arbete som ni – liksom många andra bolag – nyligen investerat i. Ett vanligt misstag vi ofta ser är att bolag genomför en engångsinsats och därefter utgår från att problemet är löst. Att utse en ansvarig som har tid, resurser och kompetens är viktigt.

Fördela därför regeluppföljningsansvaret – antingen internt eller med hjälp av extern expertis – och se till att den befintliga kunskapen samt de etablerade processerna ni investerat i kontinuerligt underhålls och utvecklas i takt med regelverkens förändringar. Naturligtvis är detta viktigare för bolag inom vissa sektorer än andra, men gemensamt för samtliga bolag är att det är viktigt att inte låta allt arbete ni hittills gjort gå förlorat.

Notera att detta endast är generell information. Inget av det som skrivs ovan ska ses som juridisk rådgivning. 

Vill du veta mer rekommenderar vi att du går en grundläggande styrelseutbildning för att få grepp om hela ansvaret du har som styrelseledamot.