De grunnleggende prinsippene i DORA – for nybegynnere

Digital operasjonell motstandskraft i finanssektoren er selve formålet med DORA. Kravene i DORA er middelet for å oppnå målet. Disse kravene dekker finansforetakenes IKT-risikostyring, håndtering og rapportering av IKT-hendelser, testing av den digitale motstandsdyktigheten, bruk av IKT-leverandører og informasjonsdeling.

DORA-kravene som definerer den digitale operasjonelle motstandskraften inkluderer: 

• Plikt om å ha et overordnet rammeverk for styring og kontroll som sikrer effektiv og forsvarlig styring av IKT-risiko. 
• Foretaket må ha ressurser og ansatte som samler inn og analyserer informasjon om sårbarheter, cybertrusler og IKT-hendelser. 
• Plikt til å evaluere større IKT-hendelser: Årsaker skal analyseres, og nødvendige forbedringer i IKT-driften identifiseres. 
• DORA pålegger testing av den digitale operasjonelle motstandsdyktigheten i foretaket. Man skal teste beredskapen for håndtering av IKT-hendelser og avdekke svakheter, mangler og avvik i den digitale motstandsdyktigheten. 
• Erfaringer fra tester, virkelige hendelser og annet skal inn i foretakets risikovurderinger. IKT-ledelsen skal minst årlig rapportere til styret om funn og anbefalinger. 
• DORA krever intern opplæring for ansatte og vurdering av teknologiutviklingen.
• Foretaktet må håndtere risiko forbundet med bruk av tjenester fra tredjeparts IKT-leverandører, inkludert en rekke vurderinger og undersøkelser knyttet til leverandøren før avtale inngås. 
• Alle foretak skal ha et register med oversikt over bruk av tjenester fra IKT-leverandører og hvilke av tjenestene som understøtter kritiske eller viktige funksjoner. 
• Finansforetak kan dessuten utveksle informasjon og etterretning om cybertrusler, så sant målet er å forbedre foretakenes motstandsdyktighet. 

Viktige begreper i DORA

Vi har valgt å beholde de engelske begrepene, og så forklare det dem på norsk:

Digital operational resilience: Evnen til en finansinstitusjon til å forhindre, tilpasse seg, svare på og komme seg videre etter IKT-relaterte forstyrrelser.

ICT risk: Risikoen for forstyrrelser eller feil i informasjonsteknologi som kan påvirke driften av en finansinstitusjon.

ICT third-party service providers: Tredjepartsaktører som leverer IKT-tjenester, som skytjenester eller dataanalyse, som er kritiske for driften av finansinstitusjoner.

Threat-led penetration testing (TLPT): Testprosedyrer som er utformet for å simulere cyberangrep på IKT-systemer for å vurdere deres motstandskraft.

Critical functions: Funksjoner eller tjenester der en forstyrrelse kan ha betydelig innvirkning på finansstabilitet eller institusjonens drift.

Incident: En hendelse som faktisk har en negativ innvirkning på konfidensialiteten, integriteten eller tilgjengeligheten til et IKT-system eller data.

Impact tolerance: Det maksimale nivået av forstyrrelse som en finansinstitusjon kan tåle uten at det går utover deres kritiske operasjoner.

Resilience strategy: Den omfattende tilnærmingen en finansinstitusjon bruker for å håndtere og redusere IKT-risikoer, og sikre digital operasjonell motstandsdyktighet.

Operational disruption: Enhver hendelse som fører til at en finansinstitusjon ikke klarer å levere sine kritiske operasjoner eller tjenester.

Disse er i DORAs scope

• Kredittinstitusjoner  
• Betalingsinstitusjoner  
• Tjenestetilbydere for kontoinformasjon  
• E-pengeinstitusjoner  
• Investeringsforetak  
• Tjenestetilbydere for kryptoaktiva  
• Verdipapirregistre  
• Sentral motpart  
• Handelsplasser  
• Handelsregistre  
• Forvaltere av alternative investeringsfond  
• Forvaltningsselskaper  
• Datatjenestetilbydere for rapportering  
• Forsikrings- og gjenforsikringsforetak  
• Forsikringsformidlere  
• Gjenforsikringsformidlere  
• Institusjoner for yrkesbasert pensjon  
• Kredittvurderingsbyråer  
• Administratorer av kritiske referanseindekser  
• Tjenestetilbydere for folkefinansiering  
• Verdipapirregistre  
• Tredjeparts IKT-tjenestetilbydere
  
  

De fleste foretakene i finanssektoren omfattes altså av DORA, med enkelte unntak. Revisorer, regnskapsførere, eiendomsmeglere og inkassoforetak er i utgangspunktet ikke omfattet av regelverket. 

De fem pilarene i DORA

Styring av IKT-risiko: Dette handler om å etablere et solid rammeverk for å identifisere, vurdere og håndtere risikoer knyttet til informasjonsteknologi. Finansforetak må utvikle strategier, retningslinjer og prosedyrer for å sikre at de er rustet til å håndtere potensielle IKT-risikoer på en effektiv måte.

Håndtering av hendelser: Foretakene må ha en klar plan for å oppdage, rapportere og håndtere IKT-hendelser. Dette innebærer alt fra små driftsavbrudd til større cyberangrep, og sikrer at bedriften kan reagere raskt og effektivt for å minimere skadevirkningene.

Testing av motstandsdyktighet: Regelmessig testing av digitale systemers motstandsdyktighet er essensielt. Gjennom penetrasjonstester og andre former for stresstesting kan bedriften avdekke svakheter i sine systemer og iverksette nødvendige forbedringer for å sikre at systemene tåler ulike typer trusler.

Styring av tredjepartsrisiko: Mange finansinstitusjoner benytter seg av eksterne leverandører for IT-tjenester. DORA krever at disse leverandørene vurderes nøye, og at risikoen forbundet med slike tredjeparter håndteres gjennom hele samarbeidet.

Informasjonsdeling: Informasjonsdeling er avgjørende for å styrke cybersikkerheten. Finansinstitusjoner må samarbeide med hverandre og med relevante myndigheter for å dele kunnskap om trusler, sårbarheter og beste praksis for å øke den kollektive motstandsdyktigheten i sektoren.

En tidsplan for å overholde DORA

Kravene som følger av de fem pilarene er bare delvis beskrevet i teksten ovenfor. Arbeidet vil være omfattende, selv for mindre finansinstitusjoner. 

1. Gap-analyse: DORA bygger på mange eksisterende regelverk for finanssektoren, både på europeisk og nasjonalt nivå. I en gap-analyse sammenligner dere hvilke krav dere allerede oppfyller med det som er definert i DORA.
    
2. Veikart: Lag en plan for hvordan dere skal tette gapene dere fant. 
   
   
3. Lag rammeverket: Dere må få på plass et rammeverk for IKT-risiko, som beskrevet i den første pilaren. Dette skal forankres i styret. Rammeverket må også beskrive hvordan hendelser og tredjepartsrisiko skal håndteres. 
   
   
4. Implementering: Få på plass nødvendig teknologi, prosesser og opplæring til å oppfylle alle kravene. Begynn deretter testing av motstandskraft, før dere får på plass rutiner for informasjonsdeling. 
   
   
5. Kontinuerlig compliance: De fire første bitene må være på plass innen januar 2025. Deretter blir det å etterleve eget rammeverk, inkludert testing, håndtering av hendelser og vurdering av eksterne leverandører. 

Book en digital demo av vår løsning for DORA i kalenderen