Økt risiko for cyberangrep har ført til at kravene til IKT-sikkerhet for finansiell sektor blir skjerpet og fra 17. januar 2025 vil DORA-kravene tre i kraft i EU. Selv om innføringen i Norge kan ta lenger tid, så burde de fleste virksomheter allerede ha iverksatt betydelige forberedelser.
Hva er DORA?
DORA, et initiativ fra EU-kommisjonen, har som mål å etablere en helhetlig tilnærming for å håndtere IKT-risikoer i den finansielle sektoren. Ved å pålegge en økt grad av ansvar på ledelsesnivå og implementere internasjonale beste praksis, søker DORA å sikre robustheten til digitale tjenester og beskytte mot cybertrusler.
Hvordan vil DORA påvirke norske virksomheter?
Det jobbes for at DORA skal tre i kraft samtidig i EU og i EØS, men regelverket må midlertidig godkjennes som en del av EØS avtalen før den kan innføres i norsk rett. Norske banker og forsikringsforetak som forventes å følge European Banking Autority (EBA) og European Insurance and Occupational Pension Authority (EIOPA) er allerede godt forberedt på implementering av DORA. For de som blir omfattet av DORA og ikke etterlever EBA eller EIOPA retningslinjene, så forventes det vesentlige behov og tilpasninger for å etterleve kravene.
Hva betyr det for din virksomhet?
Virksomheter innen finanssektoren må være forberedt på å oppfylle kravene som DORA stiller. Kravene som DORA stiller, baserer seg på fem krav:
1. IKT-risikostyring
DORA pålegger selskapets ledelse å ta «fullt og endelig ansvar» for IKT-risikostyring. Dette inkluderer godkjenning av en strategi for digital operasjonell motstandsdyktighet, samt gjennomgang og godkjenning av selskapets retningslinjer for bruk av IKT-tredjepartsleverandører.
2. Hendelseshåndtering
Implementering av sikkerhetstiltak for å forebygge, oppdage og håndtere digitale hendelser, inkludert etablering av effektive responsprosedyrer. Bare alvorlige IKT-hendelser skal rapporteres til myndigheter, og foretaket må presentere både innledende og endelige rapporter.
3. Risiko fra tredjepartsleverandører
Virksomheter må implementere risikostyring for tredjepartsleverandører som er involvert i kritiske tjenester for å sikre hele leveransekjeden. Videre må foretakene inkludere en rekke vilkår i kontraktene med sine kritiske leverandører innen implementeringsfristen til DORA.
4. Testing av motstandyktighet
Alle virksomheter må årlig gjennomføre passende sikkerhets- og motstandstester på sine kritiske IKT-systemer. For foretak definert som tilstrekkelig viktige kreves i tillegg avanserte penetration-testing hvert tredje år. Sertifiserte eksperter må utføre testene for å sikre tilstrekkelig kompetanse, og eventuelle svakheter som oppdages under testingen må «fullstendig adresseres» i samsvar med regelverket.
5. Samarbeid og informasjonsdeling
Aktører i finanssektoren forventes å samarbeide og dele informasjon om digitale trusler og hendelser for å styrke den generelle motstanden i sektoren.
DORA sikrer ikke bare at virksomheter har en helhetlig tilnærming til å håndtere digitale risikoer, men det legger også vekt på ledelsens engasjement og ansvar.
Hva bør virksomheter gjøre nå?
Med bare ett år igjen er det avgjørende at virksomheter tar proaktive skritt for å oppfylle DORA-kravene og sikre en smidig overgang til det nye regulatoriske kravene. Ved å forstå og implementere DORA-prinsippene kan virksomheter ikke bare etterleve forskriftene, men også styrke sin digitale motstandsdyktighet i møte med stadig økende cybertrusler.
Dette bør du gjøre for å bli klar for DORA innen 2025
- Forstå hva som kreves av DORA
For å sikre vellykket etterlevelse av de regulatoriske kravene, er det avgjørende å grundig sette seg inn i disse kravene og klargjøre internt hvem som har eierskap til oppgaven. Dette involverer en tydelig identifikasjon av ansvarlige parter og deres roller i å møte de fastsatte reguleringene. En nøkkelkomponent for suksess er samarbeid på tvers av organisasjonen.
Dette krever at ulike avdelinger og team arbeider sammen for å oppnå overordnede mål for etterlevelse, i tillegg til at ledelsen har et avgjørende ansvar i denne prosessen. - Gjennomføring av analyse
Gjennomføringen av en grundig analyse av den eksisterende IKT-infrastrukturen og prosessene er en kritisk fase for å møte DORA-kravene. Denne analysen har som mål å avdekke potensielle svakheter, identifisere sårbarheter og peke på områder som krever forbedring. Ved å nøye vurdere den nåværende tilstanden, gir analysen et klart bilde av hvor virksomheter står i forhold til DORA-kravene. - Identifisere og dokumentere kritiske prosesser
Det er essensielt å kartlegge og identifisere kritiske IKT-prosesser og systemer som utgjør hjørnesteiner for virksomhetens operasjonelle motstandskraft. Gjennom en systematisk dokumentasjon av disse kritiske prosessene blir ansvarsfordelingen tydelig internt i virksomheten. - Få oversikt over kritiske leverandører
For å imøtekomme DORA-kravene må virksomheter nøye identifisere alle tredjepartsleverandører som er involvert i kritiske IKT-tjenester. Dette krever en grundig gjennomgang av kontrakter og dokumenter knyttet til disse leverandørene. Målet er å forsikre seg om at leverandørene er i samsvar med DORA-kravene og opprettholder nødvendige standarder for digital operasjonell motstandsdyktighet.
Webinar: Alt du trenger å vite om Digital Operational Resilience Act (DORA)
Vi inviterer til webinar i samarbeid med Rubrik, 6. februar kl 09:00.
Webinaret er skreddersydd for virksomheter i finanssektoren og alle som er interessert i å forstå DORA og hvilke krav det medfølger.
Agenda
- Skiftet fra tradisjonell risikostyring til cybertrusler og motstandskraft.
- Kartlegging av nå-tilstand versus DORA-kravene.
- Datasikkerhet og Cybersikkerhet: Utforsk Rubriks løsninger innen datasikkerhet og cybersikkerhet for å imøtekomme DORA-kravene.