DORA-kravene innebærer nye og mer omfattende krav enn den norske IKT-forskriften. Her er forskjellene.
Krav til sikker IKT-drift i finansforetak har vi hatt i over 20 år. IKT-forskriften, formelt kjent som «Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT)», er en norsk forskrift som trådte i kraft 1. august 2003.
På samme måte som med Digital Operational Resilience Act (DORA) fra EU, har IKT-forskriften som formål å sikre at finansforetak benytter IKT på en måte som ivaretar sikkerhet, kvalitet og stabilitet i deres virksomhet.
– Norske finansselskaper etterlever i stor grad mange av momentene i DORA allerede, gjennom etterlevelse av de eksisterende nasjonale og internasjonale reguleringene. Det som i størst grad er nytt, er kravene innenfor testing og styringen av tredjepartsleverandører, sier Pål Christian Waag, fagdirektør for cybersikkerhet i Finans Norge.
Waag understreker at medlemmene i Finans Norge i all hovedsak er svært bevisste på at dette ikke er en øvelse med compliance som utgangspunkt. I stedet jobber de ut ifra intensjonen bak DORA, som er digital motstandskraft. Det omfatter ansvaret som påligger styret og ledelsen, og nå jobbes det aktivt med å heve kompetansen i toppen av organisasjonen for å gjøre finansselskapene i stand til å ta gode beslutninger om digital motstandskraft.
IKT-forskriften: En norsk light-versjon av DORA
For å fastslå hva DORA betyr for finansforetak i Norge, er det derfor hensiktsmessig å sammenligne den nye EU-forordningen med IKT-forskriften. Utgangspunktet er bra: IKT-forskriften og Finanstilsynets oppfølging bygger på felleseuropeiske retningslinjer som også gjenspeiles i DORA.
Likevel, med DORA i Norge følger vesentlig mer omfattende og detaljerte krav til finansforetakenes risikostyring, hendelseshåndtering og bruk av IKT-leverandører, skriver Finansdepartementet i et høringsnotat. DORA trer i kraft i EU fra januar 2025 og blir implementert i norsk rett samtidig.
I House of Control har vi allerede skrevet flere artikler om DORA og hva det krever av finansforetakene for å etterleve regelverket. I denne artikkelen skal vi se på hvilke DORA-krav som skiller seg fra IKT-forskriften.
Først noen ord om den norske IKT-forskriften. Den setter krav til planlegging og organisering av IKT-virksomheten i finansforetak, og det begynner med å fastsette overordnede mål, strategier og sikkerhetskrav.
For å etterleve IKT-forskriften må det utarbeides prosedyrer for å beskytte utstyr, systemer og informasjon mot skader, misbruk og uautorisert tilgang. Forskriften krever også at det gjennomføres risikoanalyser minst én gang årlig eller ved endringer som påvirker IKT-sikkerheten.
Det må også være etablert prosedyrer for håndtering av eventuelle avvik som avdekkes og endringer i IKT-systemene, og finansforetaket skal vedlikeholde oppdatert dokumentasjon av IKT-systemer som er av betydning for foretakets virksomhet.
DORA i Norge: Dette er forskjellen fra IKT-forskriften
– De største utfordringene er detaljgraden som DORA og de tilhørende tekniske standardene (RTSer og ITSer) fører med seg. Som noen sier: Det tok to minutter å lese IKT-forskriften, mens det tar to måneder å lese DORA med tilhørende standarder, sier Waag.
I tillegg til nasjonale regler som IKT-forskriften, har vi hatt EU-krav som dekker IKT-sikkerhet i bare deler av finanssektoren. Disse har gjerne blitt utarbeidet av European Banking Authority (EBA), European Securities and Markets Authority (ESMA) eller European Insurance and Occupational Pensions Authority (EIOPA).
For å samle og styrke de felleseuropeiske reglene om håndtering av IKT-risiko i finanssektoren, vedtok EU i desember 2022 forordning (EU) 2022/2554 om digital operasjonell motstandsdyktighet (DORA). Med DORA følger flere nye krav, og i høringen fra Finansdepartementet sies følgende om kostnadene:
EU-Kommisjonen anslår at tilpasning til nye IKT-risikostyringskrav kan kreve en økning av EU-foretakenes cybersikkerhetsbudsjett med om lag 10 prosent. Siden norske foretak lenge har vært underlagt krav som langt på vei tilsvarer forordningen, kan det ifølge Finansdepartementet antas at tilpasning til nye sikkerhetskrav isolert sett vil innebære lavere kostnader.
Disse DORA-kravene kommer i tillegg til den norske IKT-forskriften
Hva er så de ekstra kravene som DORA stiller til finansforetak i Norge? Fem områder utpeker seg:
Testing av digital motstandsdyktighet: Finansforetaket må gjennomføre regelmessige tester for å vurdere sin digitale motstandsdyktighet, inkludert penetrasjonstesting og scenarioanalyser. Og forbedringstiltak basert på testresultater må implementeres.
Styring av tredjeparts IKT-leverandører: DORA stiller krav til kontroll over tredjepartsleverandører. Det inkluderer å gjennomføre due diligence av leverandørene og deres sikkerhetspraksis før inngåelse av avtaler. Avtalene skal inneholde spesifikke klausuler om sikkerhet og rapportering. Når avtalen er inngått skal leverandørene overvåkes løpende.
Utvidet IKT-risikostyring: DORA krever et mer omfattende rammeverk for IKT-risikostyring. Dette inkluderer detaljerte prosedyrer for identifisering, vurdering og håndtering av IKT-relaterte risikoer. Foretaket må etablere klare retningslinjer og sikre at disse er integrert i den overordnede risikostyringen.
Håndtering og rapportering av IKT-hendelser: Det innføres strengere krav til håndtering av IKT-hendelser, inkludert kontinuerlig overvåking av systemer for å oppdage avvik. Betydelige IKT-hendelser og tiltak skal registreres og rapporteres til relevante myndigheter innen fastsatte tidsfrister.
Informasjonsdeling: Finansforetakene oppfordres i DORA til å delta i nettverk for deling av informasjon om trusler og hendelser med andre aktører i finanssektoren. Dette bidrar til økt situasjonsforståelse og bedre beredskap mot cybertrusler.
De aller fleste finansselskaper er i gang med å gjennomføre en gapanalyse for å vurdere hvilke områder de etterlever DORA og hvilke områder de må justere seg. I tillegg er mange i gang med å oppdatere sin BIA (business impact analysis) for å prioritere arbeidet i henhold til hva som er mest kritisk for egen virksomhet og samfunnet. Våre kilder anbefaler også å samarbeide på tvers av avdelinger, inkludert IT, risikostyring og juridisk.
