Digital operasjonell motstandskraft i finanssektoren er selve formålet med DORA. Kravene i DORA er middelet for å oppnå målet. Disse kravene dekker finansforetakenes IKT-risikostyring, håndtering og rapportering av IKT-hendelser, testing av den digitale motstandsdyktigheten, bruk av IKT-leverandører og informasjonsdeling.
.png?width=1002&height=564&name=1%20(3).png)
DORA-kravene som definerer den digitale operasjonelle motstandskraften inkluderer:
- Plikt om å ha et overordnet rammeverk for styring og kontroll som sikrer effektiv og forsvarlig styring av IKT-risiko.
- Foretaket må ha ressurser og ansatte som samler inn og analyserer informasjon om sårbarheter, cybertrusler og IKT-hendelser.
- Plikt til å evaluere større IKT-hendelser: Årsaker skal analyseres, og nødvendige forbedringer i IKT-driften identifiseres.
- DORA pålegger testing av den digitale operasjonelle motstandsdyktigheten i foretaket. Man skal teste beredskapen for håndtering av IKT-hendelser og avdekke svakheter, mangler og avvik i den digitale motstandsdyktigheten.
- Erfaringer fra tester, virkelige hendelser og annet skal inn i foretakets risikovurderinger. IKT-ledelsen skal minst årlig rapportere til styret om funn og anbefalinger.
- DORA krever intern opplæring for ansatte og vurdering av teknologiutviklingen.
- Foretaktet må håndtere risiko forbundet med bruk av tjenester fra tredjeparts IKT-leverandører, inkludert en rekke vurderinger og undersøkelser knyttet til leverandøren før avtale inngås.
- Alle foretak skal ha et register med oversikt over bruk av tjenester fra IKT-leverandører og hvilke av tjenestene som understøtter kritiske eller viktige funksjoner.
- Finansforetak kan dessuten utveksle informasjon og etterretning om cybertrusler, så sant målet er å forbedre foretakenes motstandsdyktighet.
Viktige begreper i DORA
Vi har valgt å beholde de engelske begrepene, og så forklare det dem på norsk:
Digital operational resilience: Evnen til en finansinstitusjon til å forhindre, tilpasse seg, svare på og komme seg videre etter IKT-relaterte forstyrrelser.
ICT risk: Risikoen for forstyrrelser eller feil i informasjonsteknologi som kan påvirke driften av en finansinstitusjon.
ICT third-party service providers: Tredjepartsaktører som leverer IKT-tjenester, som skytjenester eller dataanalyse, som er kritiske for driften av finansinstitusjoner.
Threat-led penetration testing (TLPT): Testprosedyrer som er utformet for å simulere cyberangrep på IKT-systemer for å vurdere deres motstandskraft.
Critical functions: Funksjoner eller tjenester der en forstyrrelse kan ha betydelig innvirkning på finansstabilitet eller institusjonens drift.
Incident: En hendelse som faktisk har en negativ innvirkning på konfidensialiteten, integriteten eller tilgjengeligheten til et IKT-system eller data.
Impact tolerance: Det maksimale nivået av forstyrrelse som en finansinstitusjon kan tåle uten at det går utover deres kritiske operasjoner.
Resilience strategy: Den omfattende tilnærmingen en finansinstitusjon bruker for å håndtere og redusere IKT-risikoer, og sikre digital operasjonell motstandsdyktighet.
Operational disruption: Enhver hendelse som fører til at en finansinstitusjon ikke klarer å levere sine kritiske operasjoner eller tjenester.
Disse er i DORAs scope
- Kredittinstitusjoner
- Betalingsinstitusjoner
- Tjenestetilbydere for kontoinformasjon
- E-pengeinstitusjoner
- Investeringsforetak
- Tjenestetilbydere for kryptoaktiva
- Verdipapirregistre
- Sentral motpart
- Handelsplasser
- Handelsregistre
- Forvaltere av alternative investeringsfond
- Forvaltningsselskaper
- Datatjenestetilbydere for rapportering
- Forsikrings- og gjenforsikringsforetak
- Forsikringsformidlere
- Gjenforsikringsformidlere
- Institusjoner for yrkesbasert pensjon
- Kredittvurderingsbyråer
- Administratorer av kritiske referanseindekser
- Tjenestetilbydere for folkefinansiering
- Verdipapirregistre
- Tredjeparts IKT-tjenestetilbydere
De fleste foretakene i finanssektoren omfattes altså av DORA, med enkelte unntak. Revisorer, regnskapsførere, eiendomsmeglere og inkassoforetak er i utgangspunktet ikke omfattet av regelverket.
De fem pilarene i DORA
Styring av IKT-risiko: Dette handler om å etablere et solid rammeverk for å identifisere, vurdere og håndtere risikoer knyttet til informasjonsteknologi. Finansforetak må utvikle strategier, retningslinjer og prosedyrer for å sikre at de er rustet til å håndtere potensielle IKT-risikoer på en effektiv måte.
Håndtering av hendelser: Foretakene må ha en klar plan for å oppdage, rapportere og håndtere IKT-hendelser. Dette innebærer alt fra små driftsavbrudd til større cyberangrep, og sikrer at bedriften kan reagere raskt og effektivt for å minimere skadevirkningene.
Testing av motstandsdyktighet: Regelmessig testing av digitale systemers motstandsdyktighet er essensielt. Gjennom penetrasjonstester og andre former for stresstesting kan bedriften avdekke svakheter i sine systemer og iverksette nødvendige forbedringer for å sikre at systemene tåler ulike typer trusler.
Styring av tredjepartsrisiko: Mange finansinstitusjoner benytter seg av eksterne leverandører for IT-tjenester. DORA krever at disse leverandørene vurderes nøye, og at risikoen forbundet med slike tredjeparter håndteres gjennom hele samarbeidet.
Informasjonsdeling: Informasjonsdeling er avgjørende for å styrke cybersikkerheten. Finansinstitusjoner må samarbeide med hverandre og med relevante myndigheter for å dele kunnskap om trusler, sårbarheter og beste praksis for å øke den kollektive motstandsdyktigheten i sektoren.
En tidsplan for å overholde DORA
Kravene som følger av de fem pilarene er bare delvis beskrevet i teksten ovenfor. Arbeidet vil være omfattende, selv for mindre finansinstitusjoner.
- Gap-analyse: DORA bygger på mange eksisterende regelverk for finanssektoren, både på europeisk og nasjonalt nivå. I en gap-analyse sammenligner dere hvilke krav dere allerede oppfyller med det som er definert i DORA.
- Veikart: Lag en plan for hvordan dere skal tette gapene dere fant.
- Lag rammeverket: Dere må få på plass et rammeverk for IKT-risiko, som beskrevet i den første pilaren. Dette skal forankres i styret. Rammeverket må også beskrive hvordan hendelser og tredjepartsrisiko skal håndteres.
- Implementering: Få på plass nødvendig teknologi, prosesser og opplæring til å oppfylle alle kravene. Begynn deretter testing av motstandskraft, før dere får på plass rutiner for informasjonsdeling.
- Kontinuerlig compliance: De fire første bitene må være på plass innen januar 2025. Deretter blir det å etterleve eget rammeverk, inkludert testing, håndtering av hendelser og vurdering av eksterne leverandører.
Book en digital demo av vår løsning for DORA i kalenderen
