DORA-forordningen representerer et betydelig fremskritt i EUs arbeid med å styrke den digitale operative motstandsdyktigheten til både finanssektoren og tilbydere av informasjons- og kommunikasjonsteknologi (IKT-tjenester). Det er et nytt regelverk som har som mål å skape en robust og enhetlig tilnærming til IT-sikkerhet som sikrer finansiell stabilitet og forbrukerbeskyttelse. For Norge implementeres forordningen gjennom EØS-avtalen.
Målet er økt motstandsdyktighet mot fremtidige cyber- og informasjonssikkerhetshendelser, slik at finansbedrifter og IKT-tjenesteleverandører kan forebygge og reagere på risiko uten at det merkes av kundene eller samfunnet generelt.
Hva er DORA-forordningen?
DORA, som står for Digital Operational Resilience Act, er en EU-forordning som gjør det mulig for myndighetene å effektivt overvåke og håndtere cyber- og IKT-risiko ved de virksomhetene som omfattes. forordningens ikrafttredelsesdato er 17. januar 2025 i EU, og forventes å tre i kraft ved norsk rett til samme tid.
Som med NIS2, er intensjonen å styrke beskyttelsen av nettverks- og informasjonssystemer. DORA er imidlertid rettet mot finanssektoren, hvor det er stor avhengighet av IKT-tjenester som gjør det mulig for brukere å få tilgang til, redigere og overføre informasjon. Den forbedrede sikkerheten skal styrkes gjennom strenge krav til håndtering av leverandører samt jevnlige trusselbaserte evalueringer av nettverk og informasjonssystemer.
Kort sagt tar forordningen sikte på å harmonisere kravene til finansinstitusjoners evne til å utvikle, styrke og kontinuerlig overvåke sin digitale operasjonelle motstandsdyktighet.
Hvem omfattes av DORA?
DORA-forordningen gir et omfattende regelverk designet for å styrke digital operasjonell motstandsdyktighet på tvers av finanssektoren. DORA gjelder for flertallet av finansforetakene som er regulert av EU/EØS-sektorregelverket, med noen få unntak. Når det gjelder foretak i Norge er det i hovedsak de som er under tilsyn, jf. finanstilsynsloven § 1.
Dette innebærer at forordningen, i tillegg til å henvende seg direkte til finansielle enheter, også stiller betydelige krav til tilbydere av kritiske IKT-tjenester som finansinstitusjonene er avhengige av. For eksempel cloud computing-tjenester, datasentertjenester og andre digitale løsninger som støtter økonomisk drift. Målet er å sikre at både finansinstitusjoner og deres sentrale teknologileverandører opprettholder høye standarder for cybersikkerhet og operasjonell motstandsdyktighet.
Hvilke krav stiller DORA?
Forordningen stiller et bredt spekter av krav til blant annet risikohåndtering, hendelseshåndtering og rapportering samt bruk av trusselinformasjon. Leverandørstyring, dokumentasjonssikkerhet, sikkerhetstesting, IT-drift og cybersikkerhet er også sentrale elementer.
Det betyr at organisasjoners fokus skifter fra å måtte dokumentere sin økonomiske soliditet til også å dokumentere at motstandsdyktig drift opprettholdes i forbindelse med IT-sikkerhetshendelser.
DORA stiller minimumskrav innenfor 5 kategorier:
- Governance og risikostyring
- Hendelsesrapportering
- Testing, beredskap og avbøtende tiltak
- Tredjeparts risikostyring
- Informasjonsdeling
1) Governance og risikostyring
Innenfor goverance og risikostyring krever DORA-forordningen at organisasjoner implementerer retningslinjer. De skal blant annet:
- utvikle og vedlikeholde robuste IKT-systemer og verktøy som begrenser effekten av IKT-risiko
- identifisere, kategorisere og dokumentere kritiske funksjoner og eiendeler i IT-infrastrukturen
- sikre kontinuerlig overvåking av IKT-risikoer for å iverksette nødvendige beskyttelses- og forebyggende tiltak
- raskt å identifisere uvanlige aktiviteter og reagere på dem
- utarbeide detaljerte beredskapsplaner for håndtering av IT-sikkerhetshendelser
- årlig teste katastrofe- og beredskapsplaner
- utvikle strategier for opplæring og utdanning av ansatte basert på både interne og eksterne hendelser
2) Hendelsesrapportering
I forbindelse med hendelsesrapportering er selskaper omfattet av DORA forpliktet til å:
- utarbeide retningslinjer for logging av alle IKT-hendelser og fastsettelse av større hendelser basert på gjeldende regelverk
- sende inn en innledende, foreløpig og endelig rapport om de omfattede sikkerhetshendelsene
- standardisere rapportering av IKT-hendelser ved hjelp av standardmaler
3) Testing, beredskap og avbøtende tiltak
Når det gjelder kategorien som involverer testing, beredskap og avbøtende tiltak, skal bedrifter bl.a.
- utføre årlig testing av IKT-verktøy og systemer
- identifisere og rette opp eventuelle svakheter, mangler eller hull i sikkerheten så snart som mulig
- regelmessig utføre trusselbaserte penetrasjonstester (TLPT) for IKT-tjenester som påvirker kritiske funksjoner
4) Tredjeparts risikostyring
DORA krever også at tredjeparts IKT-tjenesteleverandører deltar og samarbeider fullt ut i testing av cyberberedskap. Finansselskaper må imidlertid være klar over om deres tjenesteleverandører følger anbefalingen ved å:
- sikre løpende overvåking av risikoen fra tredjepartsleverandører av IKT-tjenester
- rapportere et register over utkontrakterte aktiviteter samt eventuelle endringer i utkontraktering av kritiske tjenester til tredjepart
- ta hensyn til risiko som oppstår ved ytterligere outsourcing-ordninger
- sikre tilstrekkelige kontrakter med IKT-tjenesteleverandører med klare regler for overvåking og tilgjengelighet
5) Informasjonsdeling
I forhold til informasjonsdeling er finansselskaper pålagt å:
- skape et rammeverk for utveksling av informasjon og etterretning om cybertrusler med andre finansielle organisasjoner
- akseptere tilsynsmyndighetenes deling av relevant anonymisert informasjon og etterretning om cybertrusler
Samspillet mellom DORA og NIS2
DORA-forordningen har mange likhetstrekk med NIS2-direktivet, og begge initiativene representerer et ønske om et høyt sikkerhetsnivå mot cybertrusler. Men der NIS2 favner et bredt spekter av bransjer og sektorer, er DORA spesifikt rettet mot finanssektoren.
Et viktig aspekt ved DORA er imidlertid oppfordringen om en nær kobling med NIS2 for å sikre en sammenhengende cybersikkerhetsstrategi på tvers av alle sektorer. Samspillet gjør det mulig for finanstilsynsmyndigheter å bli informert om cyberhendelser som påvirker andre sektorer, og støtter dermed en integrert respons i hele EU/EØS.
Sammen danner DORA og NIS2 et omfattende rammeverk for cybersikkerhet som sikrer en koordinert innsats for å beskytte EUs kritiske infrastrukturer.
Hvordan påvirker DORA din organisasjon?
Lov om digital operasjonell motstandsdyktighet bygger på og utvider eksisterende forskriftskrav ved å innføre nye forpliktelser for de omfattede organisasjonene. Selv om mange allerede har en viss erfaring med å håndtere compliance og regulatoriske krav på både nasjonalt og internasjonalt nivå, presenterer DORA nye krav som kan være mindre kjente eller mer omfattende enn tidligere.
For å møte regelverket er det viktig for finansorganisasjoner å anerkjenne behovet for digital og operasjonell robusthet. Uavhengig av organisasjonens nåværende modenhetsnivå er det viktig å sette i gang eller intensivere arbeidet med å bygge denne motstandsdyktigheten. Et godt utgangspunkt er å gjennomføre en GAP-analyse for å identifisere eventuelle mangler mellom gjeldende prosesser og kravene som stilles i DORA-forordningen. Samtidig vil en modenhetsvurdering gi en oversikt over hvor godt forberedt organisasjonen er for å møte digitale trusler og risikoer som helhet.