Med DORA-forordningens ikrafttrædelse den 17. januar 2025 står finansielle institutioner over for nye krav om at føre detaljerede registre over deres IKT-leverandører. For at leve op til disse krav har vi hos House of Control udviklet en specialiseret løsning i samarbejde med en af Nordens største finansielle institutioner. Vores software, Complete Control, giver virksomheder de nødvendige værktøjer til at styre tredjepartsrisici effektivt.
I januar 2025 træder DORA-forordningen i kraft. Det er der mange gode grunde til; i en stadigt mere digitaliseret verden, hvor finansielle institutioner i stigende grad er afhængige af teknologi, er robust cybersikkerhed og operationel modstandskraft væsentlig for virksomheder og kunders sikkerhed. Her kommer DORA-forordningen (Digital Operational Resilience Act) ind i billedet, som blev vedtaget af EU for at sikre, at finansielle virksomheder kan modstå, reagere på og komme sig efter cyberangreb og andre digitale trusler.
Men hvad betyder DORA compliance egentlig, og hvordan sikrer din virksomhed sig, at den overholder de nye regler? I denne artikel gennemgår vi de vigtigste aspekter af DORA og giver konkrete råd til, hvordan din organisation kan blive compliant og overholde forordningens krav.
Vi har tilmed lavet en nem oversigt med en tjekliste, der giver dig nem adgang til at blive compliant. Tjeklisten for DORA compliance kan du finde lige her.
DORA-forordningen blev indført for at styrke den operationelle modstandskraft i den finansielle sektor. DORA dækker alle finansielle virksomheder i EU, herunder banker, forsikringsselskaber, kapitalforvaltere og tredjepartsleverandører. Målet er at sikre, at disse organisationer har robuste systemer og processer på plads til at håndtere IT-relaterede risici. Hvis du vil forstå DORA endnu dybere, kan du læse mere uddybende om, hvad forordningen er samt dens betydning her.
For at sikre compliance med DORA skal virksomheder fokusere på fem nøgleområder, som DORA-forordningen indbefatte. Dem har vi også skrevet mere uddybende om i et andet indlæg. Nedenfor dækker vi kort de fem hovedområder i forordningen, som virksomheder skal være bevidste om.
Virksomheder skal etablere procedurer og kontroller til at håndtere IKT-risici. Dette omfatter regelmæssig overvågning, risikovurdering og dokumentation af systemers robusthed.
Det er et krav, at finansielle virksomheder rapporterer væsentlige cybersikkerhedshændelser til de relevante myndigheder inden for en fastsat tidsramme. Dette sikrer hurtig respons og minimerer potentiel skade, og gør desuden myndighederne klogere på fremtidens angreb gennem analyse.
For at sikre, at systemer kan modstå angreb og forstyrrelser, kræver DORA, at virksomheder udfører regelmæssige modstandsdygtighedstests. Dette inkluderer både interne tests og samarbejde med eksterne leverandører.
Mange virksomheder er afhængige af tredjepartsleverandører for kritiske tjenester. DORA kræver, at finansielle institutioner nøje overvåger og vurderer disse leverandørers robusthed og sikkerhedspraksis.
Finansielle institutioner opfordres til at dele information om cybertrusler og sårbarheder med hinanden for at styrke den samlede modstandskraft i sektoren.
For at sikre overholdelse af DORA-forordningen bør virksomheder komme i gang med at leve op til kravene, forordingen stiller. Disse dækker følgende trin:
Start med at identificere de mest kritiske systemer og processer i din organisation. Herefter kan du udarbejde en strategi for at beskytte dem mod potentielle trusler.
Test dine systemer mod forskellige typer af angreb og forstyrrelser. Dette kan inkludere penetrationstests, simulering af cyberangreb og kontinuitetsplaner.
Det er afgørende at have kontrol over, hvilke risici dine leverandører introducerer i din virksomhed. Udfør due diligence og indfør kontraktlige krav for at sikre compliance.
For en mere detaljeret gennemgang af, hvordan du kan sikre compliance, kan du bruge vores omfattende tjekliste, der gør det nemt at danne dig et overblik over din situation. Download den her.
Manglende overholdelse af DORA kan føre til alvorlige konsekvenser, herunder store bøder og tab af kundernes tillid samt store sikkerhedsbrud. Ved at implementere robuste procedurer og systemer kan virksomheder sikre kontinuitet, sikkerhed, minimere risici og stå stærkere i tilfælde af cybertrusler.
Med DORA-forordningens ikrafttrædelse den 17. januar 2025 står finansielle institutioner over for nye krav om at føre detaljerede registre over deres IKT-leverandører. For at leve op til disse krav har vi hos House of Control udviklet en specialiseret løsning i samarbejde med en af Nordens største finansielle institutioner. Vores software, Complete Control, giver virksomheder de nødvendige værktøjer til at styre tredjepartsrisici effektivt.
DORA’s fjerde søjle, som omhandler tredjepartsrisikostyring, pålægger finansielle virksomheder at føre et opdateret register over alle deres leverandører, vurdere deres sikkerhed og udføre regelmæssige audits. Vores løsning gør det muligt at registrere, spore og analysere leverandører samt sikre, at alle kontrakter opfylder de strenge DORA-krav.
Læs mere om, hvordan vores software kan hjælpe dig med at sikre overholdelse af DORA her.
DORA compliance handler ikke kun om at overholde de krav, forordningen stiller, men også om at beskytte din virksomhed og dine kunder mod digitale trusler. Ved at følge de fem søjler og bruge ressourcer som vores tjekliste samt vores værktøj, kan du sikre, at din virksomhed er godt rustet til fremtiden.