Hva er Digital Operational Resilience Act (DORA)?
DORA er et lovforslag fra EU som tar sikte på å etablere regler for å styrke motstandskraften og håndteringen av cybertrusler og hendelser innenfor den finansielle sektoren. Dette initiativet er en del av EU sin overordnede innsats for å sikre en trygg og stabil digital infrastruktur i finansnæringen.
Hvem gjelder DORA for?
DORA er gjeldende for alle medlemslandene i EU og det forventes at det også gjennomføre i Norge gjennom EØS avtalen. Virksomheter som anses å være i den finansielle sektoren blir omfattet av DORA, det samme gjelder kritiske IKT-underleverandører som også blir direkte regulert.
- Kredittinstitusjoner, herunder banker og kredittforetak
- Betalingsforetak
- Opplysningsfullmektig
- E-pengeforetak
- Verdipapirforetak
- Leverandører av kryptotjenester som omfattes av MiCA
- Transaksjonsregister
- Sentrale motparter
- Omsetningssteder (dvs. regulert marked, multilateralt handelssystem (MTF) og formidlere)
- Verdipapirsentraler
- Forvaltere av alternative investeringsfond
- Forvaltningsselskaper for verdifond
- Leverandører av data rapporteringstjenester
- Forsikrings- og gjenforsikringsforetak
- Forsikringsformidlere, gjenforsikringsformidlere og tilknyttede forsikringsformidlere
- Foretak for tjenestepensjonspensjoner
- Kredittvurderingsbyråer
- Administratorer for kritiske referanseverdier
- Tjenesteleverandører for folkefinansiering
- Sikringsdepoter
Hvilke krav stiller DORA til virksomheter?
-
Hendelsesrapportering Implementering av robuste mekanismer for å forebygge, oppdage og håndtere digitale hendelser, inkludert etablering av effektive responsprosedyrer. Alvorlige IKT-hendelser skal rapporteres til tilsynsmyndigheter, og foretaket må presentere både varsel/innledende rapport og endelige rapport.
-
IKT-risikostyring DORA pålegger selskapets ledelse å ta "fullt og endelig ansvar" for IKT-risikostyring. Dette inkluderer godkjenning av en strategi for digital operasjonell motstandsdyktighet, samt gjennomgang og godkjenning av selskapets retningslinjer for bruk av IKT-tredjepartsleverandører.
-
Risiko fra tredjepartsleverandører Virksomheter må implementere risikostyring for tredjepartsleverandører, som er involvert i kritiske tjenester for å sikre hele leveransekjeden. Videre må foretakene inkludere en rekke vilkår i kontraktene med sine kritiske leverandører innen implementeringsfristen til DORA.
-
Testing av motstandyktighet Alle virksomheter må årlig gjennomføre passende sikkerhets- og motstandstester på sine kritiske IKT-systemer og applikasjoner. For foretak definert som tilstrekkelig viktige kreves i tillegg avanserte penetration-testing hvert tredje år. Sertifiserte eksperter må utføre testene for å sikre tilstrekkelig kompetanse, og eventuelle svakheter som oppdages under testingen må "fullstendig adresseres" i samsvar med regelverket.
-
Samarbeid og informasjonsdeling Det skal etableres samarbeid i sektoren, for å sikre at informasjon om digitale trusler og hendelser deles samt for å styrke den generelle motstanden i sektoren.
Hvordan vil DORA påvirke norske selskaper?
Det jobbes for at DORA skal tre i kraft samtidig i EU og i EØS, men regelverket må midlertidig godkjennes som en del av EØS avtalen før den kan innføres i norsk rett. Norske banker og forsikringsforetak som forventes å følge European Banking Autority (EBA) og European Insurance and Occupational Pension Authority (EIOPA) er allerede godt forberedt på implementering av DORA. For de som blir omfattet av DORA og ikke etterlever EBA eller EIOPA retningslinjene, så forventes det vesentlige behov og tilpasninger for å etterleve kravene.
Hvordan bli klar for DORA innen 2025
Avklar internt hvem som har eierskap til implementering av DORA i virksomheten og hva som kreves. For å lykkes med kreves det samarbeid på tvers av virksomheten og ledelsens ansvar.
Gjennomfør grundig analyse av eksisterende IKT-infrastruktur og prosesser. En god analyse avdekker svakheter, sårbarheter og områder som krever forbedring for å møte DORA-kravene.
Kartlegg og identifiser kritiske IKT-prosesser og systemer som er avgjørende for virksomhetens operasjonelle motstandskraft. Ved å dokumentere kritiske prosesser kommer det også frem tydelig ansvarsfordeling internt i virksomheten.
Alle tredjepartsleverandører som er involvert i kritiske IKT-tjenester må identifiseres. Kontrakter og dokumenter knyttet opp mot leverandører må gjennomgås for å sikre at leverandører oppfyller DORA-kravene.
Webinar: Alt du trenger å vite om Digital Operational Resilience Act (DORA)
I webinaret vil du få mer informasjon om:
- Hva er DORA og hva betyr det for din virksomhet?
- Blir du berørt av DORA
- Hvordan bli klar for DORA innen 2025
Lau Sørensen
Hvordan vi kan hjelpe din virksomhet
Våre eksperter kan bistå deg med å finne gode løsninger for datasikkerhet, IT-sikkerhet og hendelseshåndtering. Kontakt oss for å lære mer om hvordan vi i samarbeid med Rubrik kan hjelpe virksomheter med å tilpasse seg kjerneprinsippene til DORA.
Hvordan vår partner Rubrik bistår deg med DORA
Rubrik bistår virksomheter med å tilpasse seg til følgende krav:
- Hendelseshåndtering
- IKT-risikostyring
- Testing av motstandsdyktighet
- Risiko fra tredjepartsleverandører
- Samarbeid og informasjonsdeling
Last ned produktark hvis du ønsker å lære mer om hvordan Rubrik bistår DORA-kravene.