I et webinar forklarer Finanstilsynet hvordan DORA-kravene til hendelsesrapportering oppfylles, og hvordan DORA er forskjellig fra IKT-forskriften.
– Hendelsesrapportering er en viktig del av DORA og digital motstandsdyktighet i finansbransjen, sier spesialrådgiver Åshild Johnsen i Finanstilsynet.
I et webinar forklarer hun og rådgiver Cecilie Holth hvordan foretak skal forholde seg til reglene i IKT-forskriften og DORA-regelverket. Denne artikkelen er basert på hva Johnsen og hennes kollega Cecilie Holth sier i webinaret.
Finansforetak har lenge hatt plikt til å rapportere alvorlige IKT-hendelser til Finanstilsynet. Johnsen forklarer at plikten omfatter vesentlige brudd på tilgjengelighet, integritet eller konfidensialitet.
– Hendelsesrapportering er regulert i IKT-forskriften § 9 tredje ledd. Det innebærer at vesentlige brudd på tilgjengelighet, integritet eller konfidensialitet skal rapporteres til Finanstilsynet uten ugrunnet opphold, sier hun.
– Denne rapporteringen omfatter normalt det foretaket selv kategoriserer som svært alvorlig eller kritisk, men kan også omfatte andre avvik dersom disse avdekker spesielle sårbarheter knyttet til applikasjon, arkitektur, infrastruktur eller forsvarsverk.
Hendelsesrapportering etter IKT-forskriften har eksistert siden 2009, og foretakene har brukt en etablert e-postløsning for dette. Likevel viser tilsynsvirksomheten at underrapportering forekommer.
– Selv om hendelsesrapporteringen etter IKT-forskriften stort sett har fungert bra, har vi blant annet gjennom tilsynsvirksomhet sett at det forekommer underrapportering, sier Johnsen.
Med innføringen av DORA (Digital Operational Resilience Act) blir hendelsesrapporteringen mer detaljert.
– DORA trer snart i kraft i EU, og vi forventer at Norge følger etter. Reglene vil gi mer detaljerte og standardiserte krav, sier Cecilie Holth.
– Man finner bestemmelser om hendelsesrapportering både i nivå 1-regelverket (kapittel 3, artikkel 17–23) og i nivå 2-regelverket. I nivå 1-regelverket stilles det blant annet krav til prosessene for å avdekke, håndtere og varsle om IKT-relaterte hendelser, samt hvordan slike hendelser og cybertrusler skal klassifiseres.
DORA krever at finansforetak rapporterer alvorlige hendelser i henhold til et fastlagt skjema. Rapporteringen er stegvis:
Ikke alle hendelser krever rapportering, men DORA definerer tydelig hvilke momenter som skal inngå i vurderingen av om en hendelse er alvorlig:
Holth forklarer at en hendelse må oppfylle visse terskelverdier for å bli klassifisert som rapporteringspliktig.
– De konkrete vilkårene for alvorlighetsklassifisering står i klassifiserings-RTS-en (artikkel 8). Denne krever først at hendelsen må ha påvirket en kritisk tjeneste. Videre må enten hendelsen skyldes et angrep fra en ondsinnet aktør med uautorisert tilgang, eller to eller flere vesentlighetsvilkår må være oppfylt, sier hun.
Holth sier at mindre, tilbakevendende hendelser samlet sett regnes kan som én alvorlig hendelse hvis de oppfyller visse vilkår, blant annet at de har samme rotårsak og oppstår minst to ganger i løpet av seks måneder, og at de samlet sett oppfyller vilkårene for å klassifiseres som alvorlige. Rapporteringen skal da skje i aggregert format.Hvordan skal rapporteringen gjennomføres?
Standardformatet for rapporteringen er definert i JSON og Excel. For å sikre effektiv og korrekt rapportering innfører Finanstilsynet en ny digital løsning. Foretakene vil kunne sende inn rapporter via Altinn. Dataene konverteres til standardformatet JSON før videresending til de europeiske tilsynsmyndighetene.
– Excel-skjemaet kan lastes ned fra Finanstilsynets nettsider. sier Johnsen.
DORA stiller også krav om at berørte kunder informeres raskt.
– Foretaket skal uten ugrunnet opphold informere kunder som får sine økonomiske interesser berørt av en hendelse, og opplyse om hvilke tiltak som er iverksatt, sier Holth.
Foretak har anledning til å utkontraktere deler av rapporteringsprosessen, men de beholder ansvaret.
For IT-medarbeidere i finanssektoren betyr DORA at rapporteringsarbeidet blir mer krevende, men samtidig mer strukturert.
– Vi forstår at dette kan være en stor overgang. Derfor kommer vi med en veileder før regelverket trer i kraft i Norge, sier Johnsen.
Det er viktig at foretak allerede nå begynner å forberede seg:
DORA gir et mer detaljert og standardisert system for rapportering, noe som kan bidra til bedre oversikt og økt digital motstandsdyktighet i finanssektoren. Det krever imidlertid at IT-medarbeidere er forberedt og proaktive i tilpasningen til de nye kravene.