Finansforetaket skal ha et overordnet rammeverk for styring og kontroll med IKT-risiko. Rammeverket skal fastsettes, godkjennes og overvåkes av styret. Dette ansvaret inkluderer å innføre retningslinjer, fastsette roller og ansvarsområder, fastsette nivå for risikotoleranse, godkjenne ulike planverk, fastsette et passende budsjett, samt jevnlig revidere retningslinjer for bruk av IKT-leverandører.
-1.png?width=1002&height=564&name=1%20(4)-1.png)
De fem pilarene i DORA
1. Styring av IKT-risiko
Finansforetaket skal ha et overordnet rammeverk for styring og kontroll med IKT-risiko. Rammeverket skal fastsettes, godkjennes og overvåkes av styret. Dette ansvaret inkluderer å innføre retningslinjer, fastsette roller og ansvarsområder, fastsette nivå for risikotoleranse, godkjenne ulike planverk, fastsette et passende budsjett, samt jevnlig revidere retningslinjer for bruk av IKT-leverandører.
De viktigste kravene er at finansforetaket skal:
- ha en funksjon for overvåking leveranser fra IKT-leverandører, alternativt utpeke et medlem av ledelsen som skal ha ansvar for å følge opp risikoeksponering og dokumentasjon forbundet med leveransen.
- identifisere, klassifisere og dokumentere IKT-relaterte funksjoner og avhengigheter, og løpende identifisere alle kilder til IKT-risiko.
- løpende overvåke sikkerheten og virkemåten til IKT-systemene, og ha på plass passende sikkerhetsverktøy, retningslinjer og prosedyrer for å beskytte systemene og kunne respondere med nødvendige tiltak.
- ha mekanismer for rask deteksjon av unormal aktivitet, herunder ytelsesproblemer og IKT-hendelser, samt avdekke vesentlige «single points of failure».
- ha helhetlige retningslinjer for IKT-driftsstabilitet, og i tråd med disse ha passende og veldokumenterte ordninger, planer, prosedyrer og mekanismer.
- vedlikeholde og jevnlig teste kontinuitetsplaner for IKT-virksomheten, særlig for kritiske eller viktige funksjoner som er utkontraktert til IKT-leverandører.
- ha retningslinjer, prosedyrer og metoder for gjenoppretting av IKT-systemer og data etter en hendelse.
- ha ressurser og ansatte for å samle informasjon om sårbarheter, cybertrusler og IKT-hendelser, og analysere hvordan de kan påvirke foretakets digitale operasjonelle motstandsdyktighet.
- evaluere større IKT-hendelser ved å analysere årsaker og identifisere nødvendige forbedringer i IKT-driften eller kontinuitetsplaner, og på forespørsel fra tilsynsmyndigheten skal foretakene innrapportere gjennomførte endringer.
- ha planer for krisekommunikasjon, både internt og eksternt, med rutiner for hvordan kommunikasjonen skal foregå.
2. Håndtering av hendelser
DORA setter krav til håndtering, klassifisering og rapportering av IKT-hendelser.
De inkluderer at foretaket skal:
- etablere en prosess for å avdekke, håndtere og varsle om IKT-hendelser.
- loggføre alle IKT-hendelser og alvorlige cybertrusler.
- ha prosedyrer for overvåkning, håndtering og oppfølging, slik at rotårsaken identifiseres, dokumenteres og håndteres for å forhindre at det gjentar seg.
- ha indikatorer for tidlig varsling, kommunikasjonsplaner og tiltak for å dempe virkninger og sikre rask gjenoppretting.
- klassifisere hendelser basert på blant annet antall berørte kunder, varighet, datatap, kritikaliteten til berørte tjenester og økonomiske konsekvenser.
- rapportere til tilsynsmyndigheten om alle alvorlige IKT-hendelser, definert som hendelser med stor negativ innvirkning på nettverks- og informasjonssystemer som understøtter foretakets kritiske eller viktige funksjoner.
3. Testing av motstandsdyktighet
DORA setter krav til testing av den digitale operasjonelle motstandsdyktigheten i foretakene. Testene skal gjennomføres av uavhengige parter, enten interne eller eksterne.
Kravene inkluderer at finansforetakene skal:
- ha et helhetlig program for risikobaserte tester som en del av rammeverket for IKT-risikostyringen.
- vurdere beredskapen for håndtering av IKT-hendelser og avdekke svakheter, mangler og avvik i den digitale motstandsdyktigheten, samt gi grunnlag for raskt å gjennomføre forbedringstiltak.
- ha prosedyrer og rutiner for å prioritere, klassifisere og rette avdekkede feil, samt metoder for intern validering for å sikre at alle avdekkede svakheter, mangler og avvik følges opp.
- teste IKT-systemer og applikasjoner som understøtter kritiske eller viktige funksjoner minst én gang i året.
Tilsynsmyndigheten skal identifisere hvilke foretak som skal ha krav om å gjennomføre mer avansert testing i form av trusselbasert penetrasjonstesting («threat-led penetration test», TLPT). Foretakene som identifiseres, skal gjennomføre TLPT minst hvert tredje år.
4. Styring av tredjepartsrisiko
Forordningen har egne regler om leverandørstyring, i form av krav til foretakenes håndtering av risiko forbundet med bruk av tjenester fra tredjeparter.
Før et foretak inngår avtale med en IKT-leverandør, må foretaket ha gjort en rekke vurderinger og undersøkelser knyttet til leverandøren, og det kan bare inngås avtaler med leverandører som etterlever hensiktsmessige standarder for informasjonssikkerhet.
DORA stiller krav til utforming av avtaler med IKT-leverandører, bl.a. knyttet til fullstendige beskrivelser av leveransene, krav til tjenestekvalitet, samarbeid med tilsynsmyndigheten, overvåking, oppsigelse og rapporteringskrav.
Foretaket skal:
- ha en strategi for leverandørrisiko.
- ha et register med oversikt over bruk av tjenester fra IKT-leverandører og hvilke av tjenestene som understøtter kritiske eller viktige funksjoner.
- på forespørsel gjøre registeret tilgjengelig for tilsynsmyndigheten.
- minst årlig rapportere til tilsynsmyndigheten om nye avtaler som er inngått, og i tillegg informere tilsynsmyndigheten i rimelig tid om planlagte avtaler om IKT-tjenester som vil understøtte kritiske eller viktige funksjoner, samt når en funksjon har blitt kritisk eller viktig.
- ha en risikobasert tilnærming til bruk av tilgang, inspeksjon og revisjon hos leverandøren, hvor hyppigheten av revisjoner og inspeksjoner, samt hvilke områder som skal revideres, skal være forhåndsdefinert.
- vurdere om IKT-leverandøren vil være vanskelig å erstatte eller om flere av leveransene til foretaket vil bli konsentrert hos samme leverandør (skal gjøres før avtalen inngås).
- gjøre en kost-nytte-vurdering av alternative løsninger, så som bruk av andre leverandører.
- vurdere betydningen av regelverk for insolvens og databeskyttelse som gjelder for leverandøren.
5. Informasjonsdeling
DORA har bestemmelser om at finansforetak kan utveksle informasjon og etterretning om cybertrusler. Det er noen forutsetninger som skal være på plass:
- Utvekslingen må ha som mål å forbedre foretakenes motstandsdyktighet, særlig ved å øke bevisstheten om cybertrusler, begrense eller hindre spredning av trusler og understøtte forsvarskapasitet, deteksjonsteknikker, tiltaksstrategier eller innsats- og gjenoppretningsfaser
- Utvekslingen må foregå innenfor et betrodd fellesskap av finansielle foretak.
- Og, utvekslingen må gjennomføres innenfor ordninger som beskytter potensielt sensitiv informasjon og er omfattet av regler om forretningsmessig konfidensialitet, beskyttelse av personopplysninger og retningslinjer for konkurransepolitikk.
- Slike informasjonsutvekslingsordninger skal ha bestemmelser om deltakelse fra finansforetak og eventuelt også fra myndigheter og tredjeparts IKT-leverandører. Foretakene skal informere tilsynsmyndigheten om deltakelse i slike ordninger.
Book en digital demo av vår løsning for DORA i kalenderen
