Velkommen til vår blogg - House of Control

Hva er DORA og hvorfor er forordningen viktig for finansinstitusjoner?

Skrevet av House of Control | 10.sep.2024 12:05:45

DORA er en forkortelse for Digital Operational Resilience Act, som er en EU-forordning som trer i kraft i januar 2025. Målet med forordningen er å gjøre de ulike IT-systemene som brukes innenfor finanssektoren mer robuste. 

Bakteppet er at finanssektoren i økende grad er avhengig av egen og outsourcet teknologi for å levere sine tjenester, og at finanssektoren er helt avgjørende for at samfunnet og økonomien skal fungere. 

Dårlig håndtering av IKT-risikoer kan føre til avbrudd i finansielle tjenester. Det vil ramme enkeltmennesker, næringslivet og hele økonomien. Her kommer DORA inn i bildet for å sikre at alle virksomheter i finanssektoren kan håndtere disse utfordringene. 

Forordningen dekker fem hovedområder:

  1. Styring av IKT-risiko: Krav til virksomhetsstyring og et rammeverk for risikostyring. Det stilles krav til at finansforetakene skal ha et rammeverk for styring og kontroll i tråd med de tre forsvarslinjene (se under). 

  2. Håndtering av hendelser: Finansforetakene må ha en prosedyre for å avdekke, håndtere og varsle om hendelser, og det stilles krav til hva prosedyren skal inneholde, hvordan foretakene skal klassifisere hendelser, når hendelser skal rapporteres og hvordan de skal rapporteres.

  3. Testing av digital motstandsdyktighet: Trusselbasert penetrasjonstesting (TLPT) skal gjennomføres minst hvert tredje år. DORA stiller krav til gjennomføringen, hvem som er kvalifisert til å teste, samt hvordan tester skal følges opp.

  4. Styring av tredjepartsrisiko: Risikostyringen dekker leverandørrisiko knyttet til både IKT-tjenester og IKT-utkontrakteringer. DORA setter krav til hvilke vurderinger som skal gjøres før en avtale inngås, hvordan avtalen skal følges opp og hva avtalen må inneholde. 

  5. Informasjonsdeling: Finansforetak må dele informasjon om cybertrusler og sårbarheter på tvers av organisasjoner og med relevante myndigheter. Dette inkluderer å rapportere om IT-hendelser, dele trusselinformasjon og samarbeide for å forbedre cybersikkerhet. 

I første punkt over – styring av IKT-risiko – nevnes de tre forsvarslinjene. De er:

  • Første linje: Operasjonell ledelse, som har ansvar for å identifisere og håndtere risikoer direkte i sine daglige aktiviteter.
  • Andre linje: Risikostyring og compliance-funksjoner, som overvåker og sikrer at risiko håndteres korrekt.
  • Tredje linje: Internrevisjon, som uavhengig vurderer effektiviteten av styring, risikostyring og kontrollprosesser.

DORA i en historisk kontekst

Finansmarkedene og de digitale truslene som sektoren møter, har blitt stadig mer globalisert. Likevel har det ikke vært et felleseuropeisk regelverk for IKT-sikkerhet innen finans. Kravene til motstandsdyktighet og IKT-sikkerhet har i stedet vært regulert av hvert enkelt land, med økt risiko for at uønskede hendelser kan spre seg over landegrenser.

I tillegg til nasjonale regler, har vi hatt EU-krav som dekker IKT-sikkerhet i bare deler av finanssektoren. Disse har gjerne blitt utarbeidet av European Banking Authority (EBA), European Securities and Markets Authority (ESMA) eller European Insurance and Occupational Pensions Authority (EIOPA). 

Siden regler for IT-risiko bare delvis er harmonisert på EU-nivå, finnes det hull og overlappende regler, spesielt innen rapportering av IKT-hendelser og penetrasjonstesting. Dette skaper problemer for finanssektoren, som er avhengig av teknologi og opererer på tvers av landegrenser. Når finansinstitusjoner må følge ulike nasjonale regler, blir det utfordrende og kostbart å håndtere IT-risikoer effektivt.

For å samle og vesentlig bygge ut de felleseuropeiske reglene om håndtering av IKT-risiko i finanssektoren, vedtok EU i desember 2022 forordning (EU) 2022/2554 om digital operasjonell motstandsdyktighet. Denne er altså bedre kjent som DORA. 

Med DORA får vi en helhetlig lovgivning for IKT-sikkerhet innen finans, som blir lik i alle EU-land. Vi snakker om en virkelig big fix. DORA innebærer lovgivning som både treffer bedre og samtidig blir enklere å forholde seg til for finansforetakene. DORA trer i kraft i januar 2025. 

Selv om DORA er ny, bygger forordningen på eksisterende retningslinjer utviklet av de ovennevnte europeiske tilsynsmyndighetene på finansområdet. Kravene er knyttet til ulike områder kjent fra IKT-risikostyring: Identifisering, beskyttelse og forebygging, deteksjon, respons og gjenoppretting, styring av tredjepartsrisiko, læring, utvikling og kommunikasjon.

Slik påvirker DORA finansiell stabilitet og digital motstandsdyktighet

Betydningen av stabilitet i finanssektoren, og rollen som  teknologien spiller for å sikre dette, er i stor grad utgangspunktet for at DORA er blitt vedtatt. DORA påvirker gjennom kravene som forordningen stiller til digital motstandsdyktighet. 

Kort sagt handler det om å forebygge hendelser gjennom styring og kontroll, riktig håndtering av uønskede hendelser, regelmessige tester av dagens systemer, samt hvordan man håndterer outsourcede leveranser. La oss derfor se nærmere på fire områder, og hva (noen av) kravene betyr i praksis. 

  1. Krav til rammeverk for styring av IKT-risiko: Formålet er at rammeverket skal sette foretaket i stand til å håndtere IKT-risiko raskt, effektivt og helhetlig. Derfor stilles det krav til at det må lages strategier, retningslinjer og prosedyrer for ulike deler av IKT-virksomheten, hvor ofte rammeverket skal gjennomgås og krav til internrevisjon. Dette styrkes dessuten av krav til regelmessig opplæring, samt kartleggingen av teknologien som brukes.
     
  2. Krav til håndtering av IKT-hendelser: Finansforetakene skal loggføre alle IKT-hendelser og alvorlige cybertrusler. De skal også ha prosedyrer for overvåkning, håndtering og oppfølging. Slik skal rotårsaken identifiseres, dokumenteres og håndteres for å forhindre at det gjentar seg. Også her settes det krav til ansattes læring og utvikling. 

  3. Krav om regelmessige penetrasjonstester: Minst hvert tredje år skal det gjennomføres trusselbasert testing av den digitale motstandsdyktigheten til finansforetakets egne og outsourcede IKT-løsninger. Formålet er å vurdere beredskapen for håndtering av IKT-hendelser og avdekke svakheter, mangler og avvik i den digitale motstandsdyktigheten, samt gi grunnlag for raskt å gjennomføre forbedringstiltak. 

  4. Krav til håndtering av tredjepart – eksterne IKT-leverandører: DORA setter krav til en risikobasert tilnærming når finansforetaket inngår avtaler med eksterne IKT-leverandører. Alle skal ha et register med oversikt over bruk av tjenester fra IKT-leverandører. Der skal det registreres hvilke av tjenestene som understøtter kritiske eller viktige funksjoner, og dette registeret må kunne vises frem til tilsynsmyndighetene.

Disse påvirkes av DORA

  • Kredittinstitusjoner  
  • Betalingsinstitusjoner  
  • Tjenestetilbydere for kontoinformasjon  
  • E-pengeinstitusjoner  
  • Investeringsforetak  
  • Tjenestetilbydere for kryptoaktiva  
  • Verdipapirregistre  
  • Sentral motpart  
  • Handelsplasser  
  • Handelsregistre  
  • Forvaltere av alternative investeringsfond  
  • Forvaltningsselskaper  
  • Datatjenestetilbydere for rapportering  
  • Forsikrings- og gjenforsikringsforetak  
  • Forsikringsformidlere  
  • Gjenforsikringsformidlere  
  • Institusjoner for yrkesbasert pensjon  
  • Kredittvurderingsbyråer  
  • Administratorer av kritiske referanseindekser  
  • Tjenestetilbydere for folkefinansiering  
  • Verdipapirregistre  
  • Tredjeparts IKT-tjenestetilbydere

De fleste foretakene i finanssektoren omfattes altså av DORA, med enkelte unntak. Revisorer, regnskapsførere, eiendomsmeglere og inkassoforetak er i utgangspunktet ikke omfattet av regelverket. 

Derfor er DORA viktig for cybertrusler

På overordnet nivå er målet for DORA å skape høy digital motstandskraft i hele EU ved å innføre felles krav til sikkerhet i nettverk og informasjonssystemer som støtter finansielle tjenester. DORA er viktig for å forebygge cybertrusler av flere årsaker, ikke minst:

  • Omfanget av cybertrusler i verden øker, og de er grenseoverskridende og blir stadig mer sofistikerte.
  • DORA setter strengere krav til at finansforetakene faktisk overholder regelverket for å beskytte seg mot cybertrusler. 
  • Med enhetlige krav i hele EU-området kan finansforetakene ha en mer helhetlig tilnærming til cybertrusler. 

Hovedmålet med DORA er å forebygge og beskytte finanssektoren mot at cybertrusler skader hvert enkelt finansforetak. Forordningen skal også sørge for at bedrifter kan håndtere hendelser og komme seg på beina igjen etter alle typer IKT-relaterte problemer. 

 

Book en digital demo av vår løsning for DORA i kalenderen

 

 

 

 

 

 
Vis hele posten