DORA-förordningen är ett viktigt steg framåt i EU:s försök att stärka den digitala operativa motståndskraften hos finanssektorn och leverantörer av informations- och kommunikationstekniktjänster (ICT). Det är ett nytt regelverk som syftar till att skapa ett robust och konsekvent förhållningssätt till cybersäkerhet som säkerställer finansiell stabilitet och konsumentskydd.
Målet är att öka motståndskraften mot framtida cyber- och informationssäkerhetsincidenter. På så sätt kan finansiella organisationer och leverantörer av ICT-tjänster förebygga och hantera risker utan att det drabbar kunderna eller samhället i stort.
Vad är DORA-förordningen?
DORA, som står för Digital Operational Resilience Act, är en EU-förordning som gör det möjligt för myndigheter att effektivt övervaka och hantera cyber- och ICT-risker i organisationer som omfattas av förordningen. DORA-förordningen ska tillämpas från och med den 17 januari 2025.
Precis som med NIS2 är avsikten att stärka skyddet av kritisk infrastruktur. DORA riktar sig dock till finanssektorn, där man är starkt beroende av ICT-tjänster som gör det möjligt för användare att få tillgång till, redigera och överföra information. Förbättrad säkerhet ska stärkas genom strikta krav på leverantörshantering och regelbundna hotbaserade bedömningar av nätverks- och informationssystem.
Kort sagt syftar förordningen till att harmonisera kraven på att finansinstitut ska utveckla, stärka och kontinuerligt övervaka sin digitala operativa motståndskraft.
Vem omfattas av lagen om digital operativ motståndskraft?
DORA-förordningen ger ett omfattande regelverk som är utformat för att stärka den digitala operativa motståndskraften inom hela finanssektorn. Förordningen har ett brett tillämpningsområde och omfattar traditionella finansinstitut som banker, kreditinstitut, betalningsleverantörer, försäkrings- och återförsäkringsföretag, värdepappersföretag och även betydande tredjepartsleverantörer av ICT-tjänster.
Det innebär att förordningen inte bara riktar sig till direkta finansiella enheter utan även ställer betydande krav på leverantörer av kritiska ICT-tjänster som finansinstituten förlitar sig på. Det gäller t.ex. molntjänster, datacentertjänster och andra digitala lösningar som stöder den finansiella verksamheten. Syftet är att säkerställa att både finansinstituten och deras viktigaste teknikleverantörer upprätthåller en hög standard av cybersäkerhet och operativ motståndskraft.
Vilka krav ställer DORA?
Förordningen innehåller ett brett spektrum av krav för riskhantering, incidenthantering och rapportering samt användning av hotinformation, bland annat. Leverantörshantering, dokumentationsförvaring, säkerhetstestning, IT-drift och cybersäkerhet är också viktiga delar.
Detta innebär att organisationernas fokus skiftar från att dokumentera sin finansiella soliditet till att också visa hur man upprätthåller en motståndskraftig verksamhet i händelse av en IT-säkerhetsincident.
DORA fastställer minimikrav i 5 kategorier:
- Styrning och riskhantering
- Rapportering av incidenter
- Testning, beredskap och begränsning
- Riskhantering för tredje part
- Informationsdelning
1) Styrning och riskhantering
Inom styrning och riskhantering kräver DORA-förordningen att organisationer ska implementera policyer och riktlinjer. De måste bland annat:
- Utveckla och underhålla robusta ICT-system och verktyg som mildrar effekterna av ICT-risker.
- Identifiera, kategorisera och dokumentera kritiska funktioner och tillgångar i IT-infrastrukturen.
- Säkerställa kontinuerlig övervakning av ICT-risker för att genomföra nödvändiga skydds- och förebyggande åtgärder.
- Snabbt identifiera och reagera på ovanlig aktivitet.
- Förbereda detaljerade beredskapsplaner för att hantera IT-säkerhetsincidenter.
- Testa katastrof- och beredskapsplanerna årligen.
- Utveckla strategier för utbildning och träning av medarbetare baserat på både interna och externa incidenter.
2) Rapportering av incidenter
För incidentrapportering krävs att organisationer som omfattas av DORA:
- Upprättar riktlinjer för att logga alla ICT-incidenter och fastställa större incidenter baserat på tillämpliga bestämmelser.
- Lämnar in en inledande, preliminär och slutlig rapport om de säkerhetsincidenter som omfattas.
- Standardiserar rapporteringen av ICT-incidenter med hjälp av standardmallar.
3) Testning, beredskap och begränsning
När det gäller kategorin som handlar om testning, beredskap och mitigering ska företagen bl.a:
- Utföra årliga tester av ICT-verktyg och system.
- Identifiera och snarast åtgärda eventuella svagheter, brister eller luckor i säkerheten.
- Regelbundet utföra hotbaserade penetrationstester (TLPT) för ICT-tjänster som påverkar kritiska funktioner.
4) Riskhantering av tredje part
DORA kräver också att tredjepartsleverantörer av ICT-tjänster deltar och samarbetar fullt ut i cyberberedskapstestning. Finansiella organisationer måste dock vara medvetna om huruvida deras tjänsteleverantörer följer rekommendationen genom att:
- Säkerställa kontinuerlig övervakning av de risker som tredjepartsleverantörer av ICT-tjänster utgör.
- Rapportera ett register över utkontrakterade aktiviteter och eventuella förändringar i utkontrakteringen av kritiska tjänster till tredje part.
- Ta hänsyn till risker som uppstår till följd av underleverantörsarrangemang.
- Säkerställa adekvata avtal med leverantörer av ICT-tjänster med tydliga regler för övervakning och tillgänglighet.
5) Informationsutbyte
När det gäller informationsutbyte ska finansiella organisationer:
- Skapa ett ramverk för att dela information och underrättelser om cyberhot med andra finansiella organisationer.
- Acceptera att tillsynsmyndigheter delar relevant anonymiserad information och underrättelser om cyberhot.
Samspelet mellan DORA och NIS2
DORA-förordningen har många likheter med NIS2-direktivet, och båda initiativen representerar också en önskan om en hög säkerhetsnivå mot cyberhot. Men medan NIS2 omfattar ett brett spektrum av branscher och sektorer, är DORA specifikt inriktat på finanssektorn.
En viktig aspekt av DORA är dock dess uppmaning till nära koppling med NIS2 för att säkerställa en sammanhängande cybersäkerhetsstrategi inom alla sektorer. Samspelet gör det möjligt för finansiella tillsynsmyndigheter att få information om cyberincidenter som påverkar andra sektorer och därmed stödja en integrerad respons i hela EU.
Tillsammans bildar DORA och NIS2 ett omfattande ramverk för cybersäkerhet som säkerställer en samordnad insats för att skydda EU:s kritiska infrastrukturer.
Hur påverkar DORA din organisation?
Digital Operational Resilience Act bygger på och utvidgar befintliga lagkrav genom att införa nya skyldigheter för berörda organisationer. Även om många organisationer redan har viss erfarenhet av att hantera compliance och lagstadgade krav på både nationell och internationell nivå, innebär DORA nya krav som kan vara mindre bekanta eller mer omfattande än tidigare.
För att uppfylla kraven i förordningen är det viktigt att finansiella organisationer inser behovet av digital och operativ motståndskraft. Oavsett organisationens nuvarande mognadsnivå är det viktigt att påbörja eller intensifiera arbetet med att bygga upp denna motståndskraft. En bra utgångspunkt är att genomföra en GAP-analys för att identifiera eventuella luckor mellan nuvarande processer och de krav som ställs i DORA-förordningen. Samtidigt kommer en mognadsbedömning att ge en överblick över hur väl förberedd organisationen är för att möta digitala hot och risker i allmänhet. En effektiv efterlevnads-lösning kan också hjälpa med att få en överblick över organisationen och dokumenterad information, inklusive IKT-arrangemang och avtal med tredjepartsleverantörer.
LÄS OCKSÅ: Verksamhetsfördelar med NIS2: Optimera din verksamhet
