Foto: Ellika Henrikson

Robert inledde sin juristkarriär på Helsingborgs tingsrätt under tidigt 2000-tal. Därefter arbetade Robert med bank- och finansfrågor på Baker McKenzie i Stockholm innan han 2009 gick över till Finansinspektionen där han avancerade till biträdande områdeschef för konsumentskyddsområdet. Efter en kortare period som Complianceansvarig för Danske Banks verksamhet i Sverige och Finland, återvände han slutligen till byråvärlden när han anslöt sig till Magnusson Law i december 2018. Sedan dess ansvarar Robert för byråns bank- och finansverksamhet och leder rådgivningen inom finansregulatoriska frågor tillsammans med delägaren Caroline Landerfors som är specialiserad inom försäkringsrättsliga frågor.

– Efter den senaste finanskrisen har det genomförts ett stort antal reformer för att stärka motståndskraften på finansmarknaden och de finansiella företagen har utmanats av en stadig våg av nya regelverk. Det nya regelverket DORA är ett led i detta arbete och reglerna syftar främst till att stärka de finansiella företagens digitala motståndskraft. Den snabba takten i utarbetandet av nya regler har gjort att kompetensförsörjning och förmåga att hitta och behålla experter blir alltmer viktigt för företagen på finansmarknaden, säger Robert.

Hur ser du på det nya regelverket DORA och dess betydelse för marknaden?

Vi ser alla hur den snabba tekniska utvecklingen har påverkat finansmarknaden och samhället i stort. Samtidigt som vi har fått billigare som bättre produkter och tjänster på finansmarknaden har den digitala utvecklingen även skapat en ökad risk för bland annat bedrägerier och cyberattacker. De nya krav som ställs i DORA är därför både aktuella och nödvändiga.

Syftet med DORA är att skapa en enhetlig EU-reglering för att säkerställa digital operativ motståndskraft inom den finansiella sektorn och att stärka allmänhetens förtroende både för företagen och för finansmarknaden i dess helhet. I korthet innebär DORA att det ställs ökade krav på de finansiella företagens arbete med att identifiera och hantera sina risker inom IKT-området. DORA ställer även krav på att företagen ska ha processer för att upptäcka, hantera och rapportera IKT-incidenter och att de regelbundet ska testa sin digitala operativa motståndskraft.

Marknaden har kommit relativt långt i arbetet med att implementera DORA. Det är ett gediget arbete som krävs och företagen behöver bland annat analysera hur DORA påverkar verksamheten samt implementera de förändringar som krävs i bland annat interna styr- och kontrollsystem.

Implementeringsarbetet underlättas till viss del av att många företag redan idag arbetar med att hantera operativa risker, inklusive IKT-risker och andra typer av digitala risker i sina verksamheter. Reglering inom riskhantering finns redan idag, men DORA innehåller mer fokuserade och detaljerade regler för hur företagen ska arbeta med just IKT-risker och innebär ett viktigt steg framåt på området.

Läs mer: Hur påverkar säkerhetsläget compliancearbetet?

Vilka är de största utmaningarna företagen kommer att möta kopplade till DORA?

Till att börja med måste företagen inrätta lämpliga och effektiva projekt för att implementera DORA. När det kommer nya regelverk är det ofta endast ett fåtal experter inom företagen som är väl insatta i de nya kraven på ett tidigt stadium. Målet för de allra flesta företagen är att integrera implementeringsprojekt i den operativa verksamheten för att undvika att implementeringsarbetet blir ett separat sidoprojekt som sköts enbart av experter.

Regelimplementering kräver ofta omfattande intern kunskapsfördelning och utbildning av personal, vilket är tidskrävande för alla aktörer. Arbetet med att implementera DORA ser olika ut i olika företag. Större aktörer såsom banker och försäkringsbolag kommer ha omfattande implementeringsprojekt medan mindre aktörer kommer arbeta mer informellt med att implementera DORA.

Implementering av nya regelverk kräver ofta att det genomförs ändringar i systemstöd vilket är tidskrävande och kan kräva särskilda investeringsbeslut. En särskild utmaning kopplad till DORA är att företagen måste se över och eventuellt omförhandla befintliga outsourcingavtal som rör IKT-tjänster, vilket kan vara svårt att hinna med innan reglerna börjar gälla. Det är således en relativt stor utmaning som företagen står inför och som kan kräva betydande resurser.

Många aktörer på finansmarknaden har dock blivit mer vana vid att hantera de utmaningar och den komplexitet som följer med implementeringen av stora regelverk. Det blir allt vanligare att företagen behandlar dessa projekt som verksamhetsförbättrande projekt som kan ge konkurrensfördelar i företagens affärsverksamhet.

Läs mer: Mognaden inom dataskydd är för låg sett till hotlandskapet

Vilka effekter tror du att DORA kommer att få på kompetensförsörjningen och kandidatmarknaden?

Företagen står i dag inför utmaningar där de digitala hoten och riskerna inte bara ökar utan även blir mer och mer komplexa. Den snabba utvecklingen på området ställer krav på att företagens organisationer utvecklas i samma takt.

För att kunna följa DORA och hantera sina digitala risker måste företagen ha medarbetare med djupgående kunskap om den egna organisationen och om de hot och risker som finns i företagens digitala miljö. Den yngre generationen, som vuxit upp i en digitaliserad värld, har en naturlig fördel när det gäller teknisk kompetens, men för att företagen ska kunna möta de nya och komplexa hotbilderna krävs det att även mer erfarna medarbetare utvecklar sina färdigheter inom området.

Att företagen lyckas integrera olika kompetenser och erfarenheter kommer att vara avgörande för att de framgångsrikt ska kunna navigera de utmaningar som framtiden för med sig. Inom complianceområdet kan man se att utvecklingen i andra länder, såsom Storbritannien och USA, går mot att inkludera andra kompetenser än bara juridisk kompetens i regelefterlevnadsarbetet. I dagens alltmer komplexa marknad måste juridisk kompetens kombineras med annan kompetens, till exempel inom IKT-området, för att företagen ska kunna hantera sina regelefterlevnadsrisker på ett bra sätt.