Den 17. januar 2025 træder DORA forordningen (The Digital Operational Resilience Act) i kraft. Digital operationel robusthed i den finansielle sektor er hovedmålet for DORA. Kravene i DORA er midlet til at nå dette mål. Disse krav dækker finansielle enheders IKT-risikostyring, hændelseshåndtering og rapportering, test af digital modstandsdygtighed, brug af IKT-tredjepartsudbydere og informationsdeling.
-2.png?width=1002&height=564&name=1%20(2)-2.png)
Hos House of Control kan vores software, Complete Control, bruges til at leve op til kravene, som DORA sætter. Desuden har vi stillet skarpt på forordningen i en række blogindlæg, der skal gøre det nemt at forstå, hvad DORA betyder, forordningens krav, og desuden hvilke virksomheder, der skal leve op til kravene. Det kan du læse om i dette indlæg.
Definitionen af operational modtstandsdygtighed
Operationel modstandsdygtighed refererer til en virksomheds evne til at forberede sig på, reagere på og komme sig efter forstyrrelser og hændelser, især dem, der påvirker deres informations- og kommunikationsteknologi (IKT). Inden for rammerne af DORA er operationel modstandsdygtighed et centralt element for finansielle institutioner, da de er særligt sårbare over for IKT-relaterede hændelser som cyberangreb, systemnedbrud og datalæk. Formålet med DORA er at sikre, at finansielle virksomheder har de nødvendige procedurer og systemer til at håndtere digitale risici, så de kan beskytte deres kritiske funktioner og undgå betydelige forstyrrelser i deres tjenester.
DORAs fokus på operationel modstandsdygtighed styrker både den interne kapacitet hos finansielle virksomheder og den bredere finansielle stabilitet i EU. Ved at sikre, at virksomheder har etableret robuste rammer til risikostyring, kontinuerlig testning og hændelsesrespons, bidrager DORA til at minimere konsekvenserne af IKT-forstyrrelser og sikre en mere modstandsdygtig finansiel sektor.
Centrale definitioner inden for DORA
DORA introducerer en række vigtige begreber, der er afgørende for forståelsen af, hvordan digital modstandsdygtighed kan opretholdes i finanssektoren. Disse er relevante at forstå, for at forstå DORA’s mål og krav:
IKT-relaterede hændelser
Dette omfatter enhver begivenhed, der påvirker IT-systemernes fortrolighed, integritet eller tilgængelighed negativt. Eksempler inkluderer cyberangreb, softwarefejl og driftsafbrydelser. I DORA skal sådanne hændelser opdages og rapporteres hurtigt for at sikre en hurtig reaktion og ikke mindst mulighed for at forbedre modstandsdygtigheden til fremtiden.
Kritiske tjenesteudbydere
Mange finansielle virksomheder benytter tredjepartsleverandører til at håndtere deres IT-infrastruktur eller andre IKT-tjenester, som er afgørende for virksomhedens drift. DORA kræver, at disse leverandører vurderes og overvåges nøje, da deres sårbarheder kan udgøre betydelige risici for finansielle institutioners operationelle stabilitet.
Digital modstandsdygtighed
Dette refererer til en virksomheds evne til at tilpasse sig, håndtere og genoprette sig fra IKT-relaterede hændelser. Formålet er at sikre kontinuiteten i finansielle tjenester under og efter forstyrrelser.
Test af modstandsdygtighed
Dette inkluderer regelmæssige tests, såsom penetrationstests og scenarieanalyser, der evaluerer systemernes robusthed mod cyberangreb og IKT-forstyrrelser.
Hvilke krav sætter DORA?
- Forpligtelse til at have overordnede rammer for IKT-risikostyring.
- Enheden skal have ressourcer og personale til at indsamle og analysere information om sårbarheder, cybertrusler og IKT-hændelser.
- Forpligtelse til at evaluere større IKT-hændelser: årsager skal analyseres, og nødvendige forbedringer i IKT-drift identificeres.
- DORA giver mandat til at teste enhedens digitale operationelle modstandsdygtighed. Beredskab til håndtering af IKT-hændelser skal testes, og svagheder, mangler og afvigelser i digital robusthed skal afdækkes.
- Erfaringer fra test, reelle hændelser med mere skal indgå i virksomhedens risikovurderinger. IKT-ledelsen skal mindst årligt rapportere til bestyrelsen om fund og anbefalinger.
- DORA kræver intern uddannelse af medarbejdere og vurdering af den teknologiske udvikling.
- Enheden skal håndtere risici forbundet med brugen af tjenester fra tredjeparts IKT-udbydere, herunder en række vurderinger og undersøgelser relateret til udbyderen, før en aftale indgås.
- Alle enheder skal have et register med overblik over brugen af tjenester fra IKT-udbydere, og hvilke af tjenesterne, der understøtter kritiske eller vigtige funktioner.
- Finansielle enheder kan også udveksle information og efterretninger om cybertrusler, så længe målet er at forbedre enhedernes modstandsdygtighed.
DORA’s omfang - hvem skal overholde kravene?
DORA's krav gælder for en bred vifte af finansielle enheder, som er centrale for EU's finansielle infrastruktur. Dette inkluderer banker, betalingsserviceudbydere, forsikringsselskaber, investeringsvirksomheder, og kryptovaluta-tjenesteudbydere. Udover finansielle institutioner omfatter DORA også tredjepartsleverandører af IKT-tjenester, såsom cloud-serviceudbydere og databehandlingsleverandører, hvis tjenester er essentielle for finansielle institutioners drift.
Mange mindre institutioner og finansielle aktører er også omfattet af DORA, da deres drift kan have en betydelig indvirkning på det bredere finansielle system. Dog er enkelte brancher såsom revisorer, ejendomsmæglere og inkassovirksomheder som udgangspunkt ikke underlagt DORA, medmindre de direkte leverer kritiske finansielle tjenester eller IKT-løsninger.
Disse skal leve op til DORA forordningen:
- Kreditinstitutter
- Betalingsinstitutioner
- Udbydere af kontooplysningstjenester
- Elektroniske pengeinstitutter
- Investeringsselskaber
- Tjenesteudbydere af kryptoaktiver
- Værdipapircentraler
- Centrale modparter
- Handelspladser
- Handelsregistre
- Forvaltere af alternative investeringsfonde
- Administrationsselskaber
- Udbydere af dataindberetningstjenester
- Forsikrings- og genforsikringsselskaber
- Forsikringsformidlere
- Genforsikringsformidlere
- Arbejdsmarkedspensionsinstitutioner
- Kreditvurderingsbureauer
- Administratorer af kritiske benchmarks
- Crowdfunding-tjenesteudbydere
- Securitiseringsdepoter
- IKT-tredjepartstjenesteudbydere
DORA’s fem søjler
DORA bygger på fem centrale søjler, der tilsammen skal sikre digital operationel modstandsdygtighed i den finansielle sektor. Dem har vi skrevet et længere indlæg om her og nedenfor beskriver vi dem kort:
IKT-risikostyring: Finansielle institutioner skal udvikle rammer for at identificere, vurdere og håndtere risici relateret til IKT. Dette indebærer løbende overvågning af systemernes robusthed, risikovurderinger og implementering af nødvendige kontrolforanstaltninger for at minimere potentielle trusler.
Hændelsesrapportering: Finansielle virksomheder skal have procedurer på plads til at opdage og reagere på IKT-hændelser hurtigt. Kravene inkluderer rapportering af betydelige hændelser til relevante myndigheder for at sikre, at de kan få overblik over trusler og tage de nødvendige forholdsregler.
Test af modstandsdygtighed: Regelmæssig testning af IT-systemer og processer er påkrævet for at afdække potentielle sårbarheder. DORA kræver, at virksomheder udfører penetrationstests, stresstests og andre sikkerhedstests for at sikre, at deres systemer kan modstå trusler.
Tredjeparts-risikostyring: Finansielle institutioner er ofte afhængige af tredjepartsleverandører, og DORA kræver, at disse leverandører nøje vurderes og overvåges for at sikre, at de lever op til høje standarder for digital modstandsdygtighed. Dette inkluderer kontraktuelle foranstaltninger og kontinuerlige revisioner.
Informationsdeling: Informationsdeling er afgørende for at styrke cybersikkerheden. Finansielle institutioner skal samarbejde med hinanden og med relevante myndigheder for at dele viden om trusler, sårbarheder og bedste praksis for at øge den kollektive modstandskraft i sektoren.
En tidslinje for DORA overholdelse
De krav, der følger af de fem søjler i DORA, er kun delvist beskrevet i ovenstående tekst. Arbejdet forud for at kunne overholde kravene vil være omfattende, selv for mindre pengeinstitutter.
Gap-analyse: DORA bygger på mange eksisterende reguleringer for den finansielle sektor, både på europæisk og nationalt niveau. I en gap-analyse sammenligner du, hvilke krav du allerede opfylder med dem, der er defineret i DORA.
Køreplan: Lav en plan for, hvordan du vil lukke de huller, du fandt i analysen.
Skab rammen: Du skal etablere en ramme for IKT-risiko, som beskrevet i første søjle. Dette skal forankres i bestyrelsen. Rammen skal også beskrive, hvordan hændelser og tredjepartsrisici vil blive håndteret.
Implementering: Implementer den nødvendige teknologi, processer og træning for at opfylde alle kravene. Begynd derefter modstandstest, før du etablerer rutiner for informationsdeling.
Løbende overholdelse: De første fire punkter skal være på plads i januar 2025. Herefter vil det handle om at overholde dine egne rammer, herunder test, hændelseshåndtering og evaluering af eksterne udbydere.
Vil du gøre det nemt at implementere og overholde DORA-kravene?
House of Control tilbyder en omfattende løsning, der gør det lettere for finansielle institutioner at overholde kravene i DORA.. Med vores software, Complete Control, kan organisationer effektivt håndtere IKT-risici, sikre ensartede risikostyringspraksisser og automatisere vigtige processer. Løsningen centraliserer risikodata og sikrer, at rapportering og kommunikation med tilsynsmyndigheder sker hurtigt og præcist, hvilket er afgørende under DORA.
House of Control's platform gør det også lettere at administrere tredjeparter og overvåge deres overholdelse af kravene. Med intuitive dashboards og automatiserede rapporteringsværktøjer kan organisationer holde sig ajour med deres digitale modstandsdygtighed og undgå operationelle forstyrrelser.
Vil du høre mere om, hvordan House of Control kan hjælpe dig med at implementere DORA?
Book en digital demo af vores løsning til DORA
