Kravene til å oppfylle DORA-kravene er bare noen måneder unna. Vi har sett på de mest krevende, men praktiske stegene din finansinstitusjon trenger å ta.
Å overholde Digital Operational Resilience Act (DORA) innebærer å håndtere flere lag av kompleksitet, inkludert integrering av nye krav i eksisterende rammeverk, håndtering av risiko fra tredjepartsleverandører, gjennomføring av avanserte tester og sikring av involvering på styrenivå.
Ressurs- og kostnadsimplikasjonene, spesielt for mindre institusjoner, utgjør betydelige utfordringer. Finansinstitusjoner må derfor planlegge omfattende, allokere ressurser effektivt og engasjere seg i løpende overvåking for å lykkes med å oppnå og opprettholde etterlevelse.
Vår forskning inkluderer tilbakemeldinger fra teamet som utvikler vår digitale løsning for risiko knyttet til tredjeparts IKT-tjenesteleverandører, samt hvitbøker fra ledende bransjeeksperter. Basert på disse mener vi at det er åtte større fellestrekk når det gjelder DORA-etterlevelsesutfordringer:
DORA introduserer omfattende krav til IKT-risikostyring som må integreres med eksisterende rammeverk som EBA-retningslinjene. Å justere disse uten overlapping eller hull er en kompleks oppgave, ifølge denne rapporten fra Capgemini.
For å møte denne utfordringen, start med å utføre en grundig gap-analyse mellom din nåværende risikostyringspraksis og DORAs krav. Utvikle et enhetlig IKT-risikostyringsrammeverk som inkluderer risikoidentifisering, klassifisering, forebygging, respons og gjenopprettingsplaner. Involver tverrfaglige team for å sikre at alle aspekter dekkes og at integrasjonen med eksisterende protokoller er sømløs. Regelmessige egenvurderinger kan bidra til å identifisere sårbarheter og opprettholde motstandsdyktighet.
Håndtering av risiko forbundet med tredjeparts IKT-tjenesteleverandører intensiveres under DORA. Dette inkluderer dyptgående risikovurderinger, opprettelse av et omfattende register over tredjepartsleverandører, og håndtering av kontraktsmessige kompleksiteter, spesielt gitt volumet og mangfoldet av leverandører, ifølge denne rapporten fra Deloitte.
Begynn med å etablere et robust rammeverk for tredjeparts risikostyring. Oppretthold et detaljert register over alle IKT-tjenesteleverandører, med skille mellom de som støtter kritiske og ikke-kritiske funksjoner. Gjennomgå og, om nødvendig, reforhandle kontrakter for å inkludere DORA-spesifikke klausuler, og minimer omfattende forhandlinger ved å bruke standardiserte vilkår. Samarbeid med leverandører for å øke bevisstheten om regulatoriske krav, og potensielt unngå motstand eller kostnadsforhandlinger. Utvikle forhåndsdefinerte exit-strategier for å sikre forretningskontinuitet dersom en leverandør svikter eller ikke kan overholde kravene.
DORA krever regelmessig testing av IKT-motstandsdyktighet, inkludert trusselbasert penetrasjonstesting hvert tredje år for kritiske systemer, noe som kan være ressurskrevende og kreve spesialisert ekspertise.
For å oppfylle disse kravene, utvikle et internt testprogram som er i samsvar med DORAs spesifikasjoner, ifølge denne rapporten fra Capgemini. Sørg for at teamet ditt har nødvendig ekspertise for å utføre disse testene; hvis ikke, vurder å outsource TLPT til sertifiserte tredjepartsspesialister. Inkluder alle relevante tredjepartssystemer i testscenariene dine. Dokumenter alle funn nøye og implementer umiddelbare korrigerende tiltak basert på testresultatene. Søk nødvendige godkjenninger og sertifiseringer for testprosessene dine etter behov.
Etterlevelse av DORA krever betydelige investeringer i teknologi, cybersikkerhetstiltak og ekspertise, noe som utgjør utfordringer, spesielt for institusjoner med begrensede budsjetter, ifølge denne rapporten fra Deloitte.
For å håndtere ressurser effektivt, prioriter etterlevelsesoppgaver basert på risiko, med fokus først på kritiske områder som hendelsesrapportering og tredjepartsstyring. Invester i skalerbare teknologiløsninger som kan vokse med organisasjonens behov. Automatiser rutineoppgaver der det er mulig for å redusere manuelt arbeid. Vurder partnerskap med etterlevelseseksperter eller andre institusjoner for å dele ressurser og kunnskap. Inkluder DORA-etterlevelseskostnader i din langsiktige finansielle planlegging for å spre utgifter over tid.
DORA krever aktiv involvering fra toppledelse og styrer i IKT-risikostyring, noe som nødvendiggjør justeringer i styringsstrukturer og økt bevissthet blant interessenter.
Opprett en formell styringsstruktur som tydelig definerer roller og ansvar for IKT-risikoovervåking på styrenivå, ifølge denne rapporten fra PwC. Utvikle intuitive rapporteringsverktøy for å holde styret informert om IKT-risikoytelse og etterlevelsesstatus. Gi målrettet opplæring for styremedlemmer og ledelse om DORAs sentrale krav for å legge til rette for informerte beslutninger. Involver interessenter fra ulike avdelinger tidlig i prosessen for å sikre samarbeid og engasjement.
DORA krever standardisert rapportering av IKT-hendelser over hele EU, noe som krever at institusjoner tilpasser sine hendelseshåndteringsprosesser og deltar i informasjonsdelingsinitiativer.
Bygg en strukturert hendelseshåndteringsprosess som er i samsvar med DORAs rapporteringsmaler og tidslinjer, ifølge denne rapporten fra Capgemini. Implementer sanntidsovervåkingssystemer for å oppdage hendelser raskt. Sett opp automatiserte rapporteringssystemer som overholder EU-standarder. Tren dine ansatte i riktig hendelseskategorisering og rapporteringsprotokoller. Delta i relevante grupper og konsortier for å dele og motta informasjon om cybertrusler, og dermed styrke kollektiv motstandsdyktighet.
Implementering av DORAs omfattende krav krever lange tidslinjer og betydelig organisatorisk endring, inkludert å fremme en kultur for operasjonell motstandsdyktighet.
Lag et veikart som bryter ned DORA-implementeringen i håndterbare trinn med klare milepæler og tidsfrister. Anvend strukturerte endringsledelsesstrategier, inkludert kommunikasjonsplaner og opplæringsprogrammer, for å hjelpe ansatte med å tilpasse seg nye protokoller, verktøy og rapporteringsprosedyrer. Fremme en kultur som verdsetter motstandsdyktighet gjennom kontinuerlig utdanning og ved å integrere motstandsdyktighetsmål i ytelsesmålinger. Oppmuntre tilbakemeldinger og tilpasningsevne for å finjustere prosesser og adressere utfordringer etter hvert som de oppstår, ifølge denne rapporten fra PwC.
Implementeringstidslinjen for DORA er streng, med etterlevelsesfristen 17. januar 2025 som nærmer seg raskt, noe som legger press på de allerede omfattende kravene.
For å sikre rettidig etterlevelse, start innsatsen så snart som mulig. Alloker tilstrekkelige ressurser, inkludert budsjett og personell, for å møte tidsfristene. Overvåk regelmessig fremdriften i implementeringen mot veikartet og juster planer etter behov. Hold deg oppdatert med regulatoriske utviklinger og søk veiledning når det oppstår usikkerhet. Anerkjenn implikasjonene av å miste tidsfrister og prioriter oppgaver deretter.
Hva anser du som dine største DORA-etterlevelsesutfordringer? Har du en plan for et register over tredjeparts tjenesteleverandører? Ta gjerne kontakt, vi er her for å hjelpe.