Lær om DORA, IFRS 16, NIS2 og kontraktstyring | House of control

Det du må vite om DORA compliance

Skrevet av House of Control | 18.11.2024

DORA compliance – hvorfor, når, for hvem og hvordan? Les deg raskt opp på bakgrunn og utfordringer, og last ned vår sjekkliste.

Digital Operational Resilience Act (DORA) trer i kraft i januar 2025. Det er en EU-forordning som tas rett inn i norsk lovverk. Den treffer alle finansforetak, og inneholder en rekke krav som skal redusere digital sårbarhet og IKT-risiko – og styrke IT-sikkerheten. Å etterleve disse kravene kan også kalles for DORA compliance.

 

Dere er nesten i mål med DORA compliance (sannsynligvis)

For mange finansforetak er DORA compliance et nytt navn på arbeid de allerede gjør. Det nye er at DORA innfører felleseuropeiske regler for hele bransjen. 

– Forordningen er en viktig del av det regelverket som vokser fram for forbrukerbeskyttelse og risikokontroll i digitaliseringen av Europa og av Norge. Mye av det som finnes i denne forordningen er allerede på plass i norsk finansnæring, men dette regelverket er mer detaljert enn det norske, og det omfatter alle aktører i finansnæringen, sier internasjonal direktør Ellen Bramness Arvidsson i Finans Norge i en presentasjon av DORA.

Ikke minst når det gjelder rapportering av IKT-hendelser og penetrasjonstesting vil DORA compliance være mer krevende for de fleste. Før har det vært overlappende nasjonale regler, og vi har hatt felleseuropeiske regler for deler av sektoren, for eksempel fra European Banking Authority (EBA), European Securities and Markets Authority (ESMA) og European Insurance and Occupational Pensions Authority (EIOPA). 

Med DORA blir god håndtering av IKT-risiko i finansinstitusjoner enkelt sagt påbudt. DORA compliance blir dessuten billigere og mer effektivt for mange. Finansforetak bruker ofte samme teknologi på tvers av landegrenser. Når finansinstitusjoner må følge ulike nasjonale regler og bransjeregler, blir det utfordrende og kostbart å håndtere IKT-risiko effektivt.

– Forordningen er utviklet mot et bakteppe der aktørene møter stadig nye utfordringer innenfor beskyttelse av data og cybersikkerhet, samtidig som avhengigheten av ulike data i næringens tjenesteproduksjon øker, sier Bramness Arvidsson.

Ansvaret for DORA compliance ligger hos ledelsen

– Forordningen plasserer ansvaret for arbeidet med IKT-sikkerhet hos selskapets ledelse på en tydelig måte, og stiller krav til ledelsen om kompetanse, ressurser, prosesser, åpenhet og kontroll, sier hun. 

Det er ledelsens ansvar å forebygge og beskytte virksomheten mot feil og angrep. Det inkluderer å identifisere svakheter, oppdage feil og angrep når de oppstår, og sikre at funksjonene gjenopprettes så snart som mulig. 

– For å kunne gjøre dette kreves at ledelsen har oppmerksomhet på å definere, godkjenne, kontrollere og ta ansvar for implementering av tiltak som påvirker IKT-risiko i institusjonen, og at det er etablert klare roller og ansvar for alle IKT-relaterte funksjoner, sier hun.

Ledelsens ansvar inkluderer også prinsipper for overvåking av tredjeparts IKT-risiko, med andre ord tilsyn og kontroll med alle underleverandørene innen fintech. DORA compliance forutsetter at finansforetaket følger grunnleggende regler for kontraktsinngåelse og serviceavtaler som inngås med tredjepartsleverandører.

Sjekkliste for DORA compliance

Finnes det en blue print, best practices eller best in class for DORA compliance? Neppe, men bransjens beste hoder og deres rådgivere har gjennom 2024 publisert en rekke råd for etterlevelse av regelverket. Sammen med egen research har vi presentert disse rådene i vår sjekkliste for etterlevelse av DORA

Vår sjekkliste er laget for å hjelpe brukeren med å håndtere de største utfordringene knyttet til DORA compliance, blant andre:

  • Involvering fra toppledelsen: For mange vil det være nødvendig med justeringer i styringsstruktur for IKT-risiko og gjøre aktive tiltak for økt bevissthet i ledelse og styret. 
  • Integrere dagens risikostyring med nye krav: Å justere disse uten overlapping eller hull er en kompleks oppgave. 
  • Regelmessig testing: Det skal gjennomføres trusselbasert penetrasjonstesting (TLPT) for kritiske systemer. 
  • Tredjeparts IKT-risiko: Det skal gjøres dyptgående risikovurderinger av leverandører og avtaler, og dere må ha et register over tredjepartsleverandører. 

Dette får du i vår sjekkliste

Ved å laste ned vår DORA-sjekkliste får du en omfattende oversikt over nødvendige tiltak for å sikre digital operasjonell motstandsdyktighet. Sjekklisten dekker blant annet etablering av styringsrammeverk for IKT-risiko, rapporteringsrutiner, og interne revisjonsprogrammer, oppdaterte oversikter over IKT-ressurser. 

Den gir også veiledning om testing av motstandsdyktighet, samt styring av tredjepartsrisiko. Sjekklisten hjelper deg også med å etablere et solid rammeverk for å identifisere, vurdere og håndtere IKT-risikoer, noe som er essensielt for å sikre kontinuerlig drift. Du får tips til hvordan dere kan utvikle prosedyrer for rask oppdagelse, rapportering og håndtering av IKT-hendelser.