Det finansiella företaget ska ha ett övergripande ramverk för hantering och kontroll av IKT-risker. Ramverket ska upprättas, godkännas och övervakas av styrelsen. Detta ansvar omfattar att införa policyer, definiera roller och ansvarsområden, fastställa risktoleransnivåer, godkänna olika planer, fastställa en lämplig budget och regelbundet se över policyer för användning av IKT-leverantörer.
Det finansiella företaget ska ha ett övergripande ramverk för hantering och kontroll av IKT-risker. Ramverket ska upprättas, godkännas och övervakas av styrelsen. Detta ansvar omfattar att införa policyer, definiera roller och ansvarsområden, fastställa risktoleransnivåer, godkänna olika planer, fastställa en lämplig budget och regelbundet se över policyer för användning av IKT-leverantörer.
De viktigaste kraven är att det finansiella institutet måste:
- ha en funktion för att övervaka leveranser från IKT-leverantörer, alternativt utse en person i ledningen som ansvarar för att följa upp riskexponering och dokumentation i samband med leveransen.
- identifiera, klassificera och dokumentera IKT-relaterade funktioner och beroenden, samt kontinuerligt identifiera alla källor till IKT-risk.
- Kontinuerligt övervaka säkerheten och beteendet hos IKT-systemen och ha lämpliga säkerhetsverktyg, policyer och förfaranden för att skydda systemen och vidta nödvändiga åtgärder.
- ha mekanismer för snabb upptäckt av onormal aktivitet, inklusive prestandaproblem och IKT-incidenter, samt för identifiering av betydande enskilda felkällor
- ha omfattande policyer för IKT-driftsresiliens och i linje med dessa ha lämpliga och väldokumenterade arrangemang, planer, förfaranden och mekanismer.
- Upprätthålla och regelbundet testa kontinuitetsplaner för IKT-verksamheten, särskilt för kritiska eller viktiga funktioner som är utlagda på IKT-leverantörer.
- ha policyer, förfaranden och metoder för att återställa IKT-system och data efter en incident.
- ha resurser och personal för att samla in information om sårbarheter, cyberhot och IKT-incidenter och analysera hur de kan påverka företagets digitala operativa motståndskraft.
- utvärdera större IKT-incidenter genom att analysera orsaker och identifiera nödvändiga förbättringar i IKT-verksamheten eller i kontinuitetsplanerna, och på begäran av tillsynsmyndigheten ska företagen rapportera genomförda förändringar.
- ha planer för kriskommunikation, både internt och externt, med rutiner för hur kommunikationen ska ske.
DORA ställer krav på hantering, klassificering och rapportering av IKT-incidenter.
De omfattar att organisationen ska:
- upprätta en process för att upptäcka, hantera och anmäla IKT-incidenter.
- logga alla IKT-incidenter och allvarliga cyberhot.
- ha rutiner för övervakning, hantering och uppföljning, så att grundorsaken identifieras, dokumenteras och hanteras för att förhindra upprepning.
- ha indikatorer för tidig varning, kommunikationsplaner och åtgärder för att mildra effekterna och säkerställa snabb återhämtning.
- klassificera incidenter baserat på bland annat antalet kunder som påverkas, varaktighet, dataförlust, hur kritiska de påverkade tjänsterna är och finansiell påverkan.
- rapportera till tillsynsmyndigheten alla allvarliga IKT-incidenter, definierade som incidenter med en stor negativ påverkan på nätverks- och informationssystem som stödjer organisationens kritiska eller viktiga funktioner.
DORA ställer krav på testning av organisationers digitala operativa motståndskraft. Testerna måste utföras av oberoende parter, antingen interna eller externa.
Kraven innebär bland annat att finansiella organisationer måste:
- ha ett omfattande program för riskbaserad testning som en del av ramverket för hantering av IKT-risker
- bedöma beredskapen för att hantera IKT-incidenter och identifiera svagheter, brister och avvikelser i den digitala motståndskraften samt ge underlag för att snabbt kunna genomföra förbättringsåtgärder.
- ha processer och rutiner för att prioritera, klassificera och korrigera identifierade fel, samt metoder för intern validering för att säkerställa att alla identifierade svagheter, brister och avvikelser följs upp.
- testa IKT-system och applikationer som stödjer kritiska eller viktiga funktioner minst en gång per år.
Tillsynsmyndigheten ska identifiera vilka organisationer som kommer att behöva genomföra mer avancerade tester i form av “threat-led penetration test” (TLPT). De identifierade organisationerna ska genomföra TLPT minst vart tredje år.
Förordningen har egna regler om leverantörshantering, i form av krav på företagens hantering av risker i samband med användning av tjänster från tredje part.
Innan en organisation ingår avtal med en IKT-leverantör ska organisationen ha genomfört ett antal bedömningar och utredningar avseende leverantören, och avtal kan endast ingås med leverantörer som uppfyller lämpliga informationssäkerhets-standarder.
DORA ställer krav på utformningen av avtal med IKT-leverantörer, inklusive fullständiga beskrivningar av leveranserna, kvalitetskrav på tjänsterna, samarbete med tillsynsmyndigheten, övervakning, uppsägning och rapporteringskrav.
Företaget ska:
- ha en strategi för leverantörsrisker.
- ha ett register med en översikt över användningen av tjänster från IKT-leverantörer och vilka av tjänsterna som stöder kritiska eller viktiga funktioner.
- göra registret tillgängligt för tillsynsmyndigheten på begäran.
- minst årligen rapportera till tillsynsmyndigheten om nya avtal som ingåtts och därutöver i rimlig tid informera tillsynsmyndigheten om planerade avtal om IKT-tjänster som ska stödja kritiska eller viktiga funktioner, samt när en funktion har blivit kritisk eller viktig.
- ha ett riskbaserat förhållningssätt till användandet av tillträde, inspektion och revision hos leverantören, där frekvensen av revisioner och inspektioner, liksom de områden som ska revideras, ska vara fördefinierade.
- bedöm om IKT-leverantören kommer att vara svår att ersätta eller om flera av leveranserna till organisationen kommer att koncentreras till samma leverantör (måste göras innan avtalet ingås).
- gör en kostnads- och intäktsbedömning av alternativa lösningar, t.ex. att använda andra leverantörer.
- bedöm betydelsen av de insolvens- och dataskyddsbestämmelser som gäller för leverantören.
DORA innehåller bestämmelser om att finansinstitut ska utbyta information och underrättelser om cyberhot.
Det finns vissa förutsättningar som måste vara på plats:
Utbytet måste syfta till att förbättra företagens motståndskraft, särskilt genom att öka medvetenheten om cyberhot, begränsa eller förhindra spridningen av hot och stödja försvarskapacitet, detektionstekniker, responsstrategier eller respons- och återhämtningsfaser.
Utbytet måste äga rum inom en betrodd grupp av finansiella organisationer.
Utbytet måste också ske inom ramen för arrangemang som skyddar potentiellt känslig information och omfattas av regler om affärssekretess, skydd av personuppgifter och konkurrenspolitiska riktlinjer.
Sådana arrangemang för informationsutbyte ska innehålla bestämmelser om deltagande av finansiella företag och, i tillämpliga fall, myndigheter och tredjepartsleverantörer av IKT. Företagen ska informera tillsynsmyndigheten om sitt deltagande i sådana arrangemang.
Boka en digital demo av vår lösning för DORA