{"id":6214,"date":"2024-01-17T08:37:50","date_gmt":"2024-01-17T07:37:50","guid":{"rendered":"https:\/\/www.nlogic.no\/?p=6214"},"modified":"2025-08-27T14:25:18","modified_gmt":"2025-08-27T12:25:18","slug":"dora-trer-i-kraft","status":"publish","type":"post","link":"https:\/\/www.nlogic.no\/english\/aktuelt\/dora-trer-i-kraft\/","title":{"rendered":"DORA \u2013 nye krav til IKT-sikkerhet i finanssektoren"},"content":{"rendered":"
\n\t\t\t
\n\t\t\t\t\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n<\/g>\n<\/svg>\n\n\t\t\t\t

DORA \u2013 nye krav til IKT-sikkerhet i finanssektoren<\/h1>\n\t\t\t\t

Om ett \u00e5r, fra n\u00e5 av, vil Digital Operational Resilience Act (DORA) tre i kraft og p\u00e5legge nye regler som vil styrke den digitale operasjonelle motstandsevnen til finansinstitusjoner over hele EU.<\/p>\n<\/div>\n\t\t\t\t\n\t\t\t\t\n\t\t\t<\/div>\n\t\t<\/div>\n

\u00d8kt risiko for cyberangrep har skjerpet kravene til IKT-sikkerhet i finanssektoren. Fra 17. januar 2025<\/strong> trer DORA-kravene i kraft i EU. Selv om innf\u00f8ringen i Norge kan ta lengre tid, b\u00f8r virksomheter allerede n\u00e5 starte forberedelsene.<\/p>\n\n\n\n

Hva er DORA? <\/h2>\n\n\n\n

DORA, et initiativ fra EU-kommisjonen, har som m\u00e5l \u00e5 etablere en helhetlig tiln\u00e6rming for \u00e5 h\u00e5ndtere IKT-risikoer i den finansielle sektoren. Ved \u00e5 p\u00e5legge en \u00f8kt grad av ansvar p\u00e5 ledelsesniv\u00e5 og implementere internasjonale beste praksis, s\u00f8ker DORA \u00e5 sikre robustheten til digitale tjenester og beskytte mot cybertrusler.<\/p>\n\n\n\n

Hvordan vil DORA p\u00e5virke norske virksomheter? <\/h2>\n\n\n\n

Det jobbes for at DORA skal tre i kraft samtidig i EU og i E\u00d8S, men regelverket m\u00e5 midlertidig godkjennes som en del av E\u00d8S avtalen f\u00f8r den kan innf\u00f8res i norsk rett. Norske banker og forsikringsforetak som forventes \u00e5 f\u00f8lge European Banking Autority (EBA)<\/strong><\/a> og European Insurance and Occupational Pension Authority (EIOPA)<\/a><\/strong> er allerede godt forberedt p\u00e5 implementering av DORA. For de som blir omfattet av DORA og ikke etterlever EBA eller EIOPA retningslinjene, s\u00e5 forventes det vesentlige behov og tilpasninger for \u00e5 etterleve kravene.<\/p>\n\n\n\n

Hva betyr det for din virksomhet? <\/h2>\n\n\n\n

Virksomheter innen finanssektoren m\u00e5 v\u00e6re forberedt p\u00e5 \u00e5 oppfylle kravene som DORA stiller. Kravene som DORA stiller, baserer seg p\u00e5 fem krav:<\/p>\n\n\n\n

1. IKT-risikostyring<\/h3>\n\n\n\n

DORA p\u00e5legger selskapets ledelse \u00e5 ta \u00abfullt og endelig ansvar\u00bb for IKT-risikostyring. Dette inkluderer godkjenning av en strategi for digital operasjonell motstandsdyktighet, samt gjennomgang og godkjenning av selskapets retningslinjer for bruk av IKT-tredjepartsleverand\u00f8rer.<\/p>\n\n\n\n

2. Hendelsesh\u00e5ndtering<\/h3>\n\n\n\n

Implementering av sikkerhetstiltak for \u00e5 forebygge, oppdage og h\u00e5ndtere digitale hendelser, inkludert etablering av effektive responsprosedyrer. Bare alvorlige IKT-hendelser skal rapporteres til myndigheter, og foretaket m\u00e5 presentere b\u00e5de innledende og endelige rapporter.<\/p>\n\n\n\n

3. Risiko fra tredjepartsleverand\u00f8rer<\/h3>\n\n\n\n

Virksomheter m\u00e5 implementere risikostyring for tredjepartsleverand\u00f8rer som er involvert i kritiske tjenester for \u00e5 sikre hele leveransekjeden. Videre m\u00e5 foretakene inkludere en rekke vilk\u00e5r i kontraktene med sine kritiske leverand\u00f8rer innen implementeringsfristen til DORA.<\/p>\n\n\n\n

4. Testing av motstandyktighet<\/h3>\n\n\n\n

Alle virksomheter m\u00e5 \u00e5rlig gjennomf\u00f8re passende sikkerhets- og motstandstester p\u00e5 sine kritiske IKT-systemer. For foretak definert som tilstrekkelig viktige kreves i tillegg avanserte penetration-testing hvert tredje \u00e5r. Sertifiserte eksperter m\u00e5 utf\u00f8re testene for \u00e5 sikre tilstrekkelig kompetanse, og eventuelle svakheter som oppdages under testingen m\u00e5 \u00abfullstendig adresseres\u00bb i samsvar med regelverket.<\/p>\n\n\n\n

5. Samarbeid og informasjonsdeling<\/h3>\n\n\n\n

Akt\u00f8rer i finanssektoren forventes \u00e5 samarbeide og dele informasjon om digitale trusler og hendelser for \u00e5 styrke den generelle motstanden i sektoren.<\/p>\n\n\n\n

<\/p>\n\n\n\n

DORA sikrer ikke bare at virksomheter har en helhetlig tiln\u00e6rming til \u00e5 h\u00e5ndtere digitale risikoer, men det legger ogs\u00e5 vekt p\u00e5 ledelsens engasjement og ansvar.<\/p>\n\n\n\n

Hva b\u00f8r virksomheter gj\u00f8re n\u00e5? <\/h2>\n\n\n\n

Med bare ett \u00e5r igjen er det avgj\u00f8rende at virksomheter tar proaktive skritt for \u00e5 oppfylle DORA-kravene og sikre en smidig overgang til det nye regulatoriske kravene. Ved \u00e5 forst\u00e5 og implementere DORA-prinsippene kan virksomheter ikke bare etterleve forskriftene, men ogs\u00e5 styrke sin digitale motstandsdyktighet i m\u00f8te med stadig \u00f8kende cybertrusler.<\/p>\n\n\n\n

Dette b\u00f8r du gj\u00f8re for \u00e5 bli klar for DORA innen 2025<\/strong><\/p>\n\n\n\n

    \n
  1. Forst\u00e5 hva som kreves av DORA<\/strong>
    For \u00e5 sikre vellykket etterlevelse av de regulatoriske kravene, er det avgj\u00f8rende \u00e5 grundig sette seg inn i disse kravene og klargj\u00f8re internt hvem som har eierskap til oppgaven. Dette involverer en tydelig identifikasjon av ansvarlige parter og deres roller i \u00e5 m\u00f8te de fastsatte reguleringene. En n\u00f8kkelkomponent for suksess er samarbeid p\u00e5 tvers av organisasjonen.
    Dette krever at ulike avdelinger og team arbeider sammen for \u00e5 oppn\u00e5 overordnede m\u00e5l for etterlevelse, i tillegg til at ledelsen har et avgj\u00f8rende ansvar i denne prosessen.
    <\/li>\n\n\n\n
  2. Gjennomf\u00f8ring av analyse <\/strong>
    Gjennomf\u00f8ringen av en grundig analyse av den eksisterende IKT-infrastrukturen og prosessene er en kritisk fase for \u00e5 m\u00f8te DORA-kravene. Denne analysen har som m\u00e5l \u00e5 avdekke potensielle svakheter, identifisere s\u00e5rbarheter og peke p\u00e5 omr\u00e5der som krever forbedring. Ved \u00e5 n\u00f8ye vurdere den n\u00e5v\u00e6rende tilstanden, gir analysen et klart bilde av hvor virksomheter st\u00e5r i forhold til DORA-kravene.
    <\/li>\n\n\n\n
  3. Identifisere og dokumentere kritiske prosesser<\/strong>
    Det er essensielt \u00e5 kartlegge og identifisere kritiske IKT-prosesser og systemer som utgj\u00f8r hj\u00f8rnesteiner for virksomhetens operasjonelle motstandskraft. Gjennom en systematisk dokumentasjon av disse kritiske prosessene blir ansvarsfordelingen tydelig internt i virksomheten.
    <\/li>\n\n\n\n
  4. F\u00e5 oversikt over kritiske leverand\u00f8rer <\/strong>
    For \u00e5 im\u00f8tekomme DORA-kravene m\u00e5 virksomheter n\u00f8ye identifisere alle tredjepartsleverand\u00f8rer som er involvert i kritiske IKT-tjenester. Dette krever en grundig gjennomgang av kontrakter og dokumenter knyttet til disse leverand\u00f8rene. M\u00e5let er \u00e5 forsikre seg om at leverand\u00f8rene er i samsvar med DORA-kravene og opprettholder n\u00f8dvendige standarder for digital operasjonell motstandsdyktighet.<\/li>\n<\/ol>\n\n\n\n

    Webinar: Alt du trenger \u00e5 vite om Digital Operational Resilience Act (DORA)<\/h2>\n\n\n\n

    Vi inviterer til webinar i samarbeid med Rubrik, 6. februar kl 09:00.
    Webinaret er skreddersydd for virksomheter i finanssektoren og alle som er interessert i \u00e5 forst\u00e5 DORA og hvilke krav det medf\u00f8lger.<\/p>\n\n\n\n

    Agenda<\/strong><\/p>\n\n\n\n