Digital operativ motståndskraft inom finanssektorn är själva syftet med DORA. Kraven i DORA är medlen för att uppnå målet. Dessa krav omfattar finansiella organisationers IKT-riskhantering, hantering och rapportering av IKT-incidenter, testning av digital motståndskraft, användning av IKT-leverantörer och informationsutbyte.
.png?width=1002&height=564&name=1%20(8).png)
DORA-kraven som definierar den digitala operativa motståndskraften omfattar
- Skyldighet att ha ett övergripande ramverk för ledning och kontroll som säkerställer en effektiv och försiktig hantering av IKT-risker.
- Företaget ska ha resurser och anställda som samlar in och analyserar information om sårbarheter, cyberhot och IKT-incidenter.
- Skyldighet att utvärdera större IKT-incidenter: Orsakerna ska analyseras och nödvändiga förbättringar i IKT-verksamheten ska identifieras.
- DORA kräver testning av organisationens digitala operativa motståndskraft. Beredskapen för att hantera IKT-incidenter måste testas och svagheter, brister och avvikelser i den digitala motståndskraften måste identifieras.
- Lärdomar från tester, verkliga incidenter etc. måste införlivas i organisationens riskbedömningar. IKT-ledningen ska rapportera resultat och rekommendationer till styrelsen minst en gång per år.
- DORA kräver internutbildning av de anställda och att man gör en bedömning av teknologiutvecklingen.
- Organisationen måste hantera risker i samband med användning av tjänster från tredjepartsleverantörer av IKT, inklusive ett antal bedömningar och undersökningar relaterade till leverantören, innan ett avtal ingås.
- Alla organisationer måste ha ett register med en översikt över användningen av tjänster från IKT-leverantörer och vilka av tjänsterna som stöder kritiska eller viktiga funktioner.
- Finansinstitut får också utbyta information och underrättelser om cyberhot, förutsatt att syftet är att förbättra organisationernas motståndskraft.
Viktiga begrepp i DORA
Vi har valt att behålla de engelska termerna och sedan förklara dem på svenska:
Digital operational resilience: Ett finansinstituts förmåga att förebygga, anpassa sig till, reagera på och återhämta sig från IKT-relaterade störningar.
ICT risk: Risken för störningar eller fel i informationstekniken som kan påverka verksamheten i ett finansiellt institut.
ICT third-party service providers: Tredjepartsaktörer som tillhandahåller IKT-tjänster, t.ex. molntjänster eller dataanalys, som är avgörande för finansinstitutens verksamhet.
Threat-led penetration testing (TLPT): Testförfaranden som utformats för att simulera cyberattacker mot IKT-system för att bedöma deras motståndskraft.
Critical functions: Funktioner eller tjänster där ett avbrott skulle kunna ha en betydande inverkan på den finansiella stabiliteten eller institutets verksamhet.
Incident: En händelse som faktiskt har en negativ inverkan på sekretessen, integriteten eller tillgängligheten hos ett IKT-system eller data.
Impact tolerance: Den maximala störningsnivå som en finansiell institution kan tolerera utan att äventyra sin kritiska verksamhet.
Resilience strategy: Den övergripande metod som ett finansinstitut använder för att hantera och minska IKT-risker och säkerställa digital operativ motståndskraft.
Operational disruption: Varje händelse som gör att en finansiell institution inte kan leverera sina kritiska verksamheter eller tjänster.
DORA:s fem grundpelare
- Hantering av IKT-risker: Detta handlar om att etablera en solid ram för att identifiera, bedöma och hantera risker relaterade till informationsteknik. Finansiella organisationer måste utveckla strategier, policyer och förfaranden för att säkerställa att de är utrustade för att hantera potentiella IKT-risker på ett effektivt sätt.
- Incidenthantering: Organisationer måste ha en tydlig plan för att upptäcka, rapportera och hantera IKT-incidenter. Planen skall omfatta allt från små affärsstörningar till stora cyberattacker, vilket skall säkerställa att verksamheten kan reagera snabbt och effektivt för att minimera skadan.
- Testning av motståndskraft: Det är viktigt att regelbundet testa de digitala systemens motståndskraft. Genom penetrationstester och andra former av stresstester kan organisationer identifiera svagheter i sina system och genomföra de förbättringar som krävs för att säkerställa att systemen kan stå emot olika typer av hot.
- Hantering av tredjepartsrisk: Många finansinstitut använder sig av externa leverantörer för IT-tjänster. DORA kräver att dessa leverantörer utvärderas noggrant och att de risker som är förknippade med sådana tredje parter hanteras under hela förhållandet.
- Informationsutbyte: Informationsdelning är avgörande för att stärka cybersäkerheten. Finansinstituten måste samarbeta med varandra och med relevanta myndigheter för att dela med sig av kunskap om hot, sårbarheter och bästa praxis för att öka sektorns kollektiva motståndskraft.
En tidsplan för att följa DORA
De krav som följer av de fem pelarna är endast delvis beskrivna i texten ovan. Arbetet kommer att vara omfattande, även för mindre finansiella institutioner.
GAP-analyser: DORA bygger på många befintliga bestämmelser för den finansiella sektorn, både på europeisk och nationell nivå. I en gap-analys jämför du vilka krav du redan uppfyller med vad som definieras i DORA.
Färdplan: Skapa en plan för hur ni ska täppa till de luckor som ni har hittat.
Skapa ramverket: Du måste införa ett ramverk för IKT-risker, enligt beskrivningen i den första pelaren. Detta bör vara förankrat i styrelsen. Ramverket måste också beskriva hur incidenter och tredjepartsrisker ska hanteras.
Implementering: Inför den teknik, de processer och den utbildning som krävs för att uppfylla alla krav. Påbörja sedan tester av motståndskraften innan rutinerna för informationsdelning införs.
Kontinuerlig efterlevnad: De fyra första delarna måste vara på plats senast i januari 2025. Därefter handlar det om att följa ert eget ramverk, inklusive tester, incidenthantering och bedömning av externa leverantörer.
Boka en digital demo av vår lösning för DORA
