DEBATT:

FINANS: Både selskaper i finanssektoren og utenfor blir berørt av nytt regelverk fra EU. (Foto: Istock)

DORA: Fem steg for å bli klar for det kommende regelverket i finansbransjen

Finanssektoren i EU/EØS står overfor et nytt regelverk som etablerer et felles rammeverk for håndtering, rapportering og tjenesteutsetting av it-relaterte risikoer. Digital Operational Resilience Act (DORA) som ble vedtatt i fjor stiller nye, tøffe krav til finansmarkedet. Det overordnete målet er å garantere stabiliteten til finansmarkedet gjennom en høy beredskap mot cyberangrep og andre digitale risikoer.

Publisert

Mange selskap på utsiden av finanssektoren vil også berøres. Selv som leverandør vil man bli nødt til å tilpasse seg kravene. For leverandører av it-tjenester, i tillegg til distribusjonskanalen, er det derfor viktig å forstå hvordan DORA kommer til å påvirke dem, og forberede seg på reguleringene som trer i kraft tidlig neste år. Manglende etterlevelse kan føre til strenge økonomiske straffer.

En praktisk og konkret måte for organisasjonen å komme i gang er å følge de fem enkle stegene under. De gir en god støtte til arbeidet med å oppfylle kravene til cyber-motstandskraft som DORA stiller.

1. Finn ut om dere berøres av reglene

DORA omfatter hele finansbransjen i EU/EØS: Alle banker, forsikringsselskap og aktørene i verdipapirmarkedet – uansett størrelse og omsetning. Reguleringen omfatter også hele forsyningskjeden til finansbransjen, inklusive underleverandører i flere ledd. Dette innebærer at selv selskapene som forsyner organisasjonene innen finanstjenester med it-systemer og -tjenester må sørge for at de oppfyller kravene – dette omfatter alt fra skytjenester og datasentre til KI.

2. Gjør en risikovurdering

DIREKTØR: Petter Glenstrup gir råd om hvordan man kan tilpasse seg de nye reglene. (Foto: Arctic Wolf)

Ifølge DORA må en organisasjon kunne vise til en beredskap for å håndtere it-relaterte hendelser, inklusive cyberangrep. Derfor er det viktig at ledelsen tar seg tid til å forstå hvor det finnes mulige åpninger i virksomheten cyberforsvar – I tillegg til å vite hvordan oppdage, rapportere om, og gjenopprette etter en hendelse.

Gjennom å gjennomføre en risikovurdering både for egen organisasjon og leverandørkjeden kan sårbare områder identifiseres og i neste trinn utvikle en handlingsplan for å bøte på disse.

3. Utvikle en handlingsplan

Det er derfor viktig å forstå hvordan DORA kommer til å påvirke dem, og forberede seg på reguleringene som trer i kraft tidlig neste år.

Når risikovurderingen for organisasjonen er fullført, er det på tide å lage en handlingsplan for etterlevelse. Den må forankres i kravene som beskrives i DORA (artikel 6.8) og forklare hvordan deres it-risikohåndteringsarbeid støtter forretningsmålene og den høyere strategien. Handlingsplanen bør også etablere virksomhetens toleransenivå for risiko, vise virksomhetens eksisterende infrastruktur, beskrive de etablerte mekanismene for å detektere hendelser, samt forklare hvordan virksomheten skal kommunisere, både internt i organisasjonen og eksternt ved et angrep. DORA stiller tydelige krav, blant annet til hendelsesrapportering, tester av scenarioer og risikohåndtering.

4. Utdann nøkkelpersonellet

I tillegg til å ha et program for risikohåndtering på plass stiller DORA også krav til sikkerhetsbevissthet og opplæring for styremedlemmer, toppledere og ansatte. Det virker rimelig, med tanke på at interne faktorer er estimert til å ligge bak omkring 60 prosent av alle databrudd – med eller uten hensikt. Alle ansatte i organisasjonen må få regelmessig trening på cybersikkerhet og være i stand til å gjenkjenne typiske tegn på et angrep – for eksempel å rapportere hendelser til de sikkerhetsansvarlige.

5. Gå regelmessig gjennom planene

Når DORA blir norsk lov kommer alle organisasjoner som berøres til å få sin plan for risikohåndtering gjennomgått regelmessig, i tillegg til når det har skjedd en it-relatert hendelse. Derfor er det viktig at dere selv gjennomgår beredskapen regelmessig, for å sikre at planen fremdeles er relevant og aktuell, og at den blir kontinuerlig oppdatert i henhold til lovkravene der det er påkrevd. Denne gjennomgangen skal ikke bare sikre at regelverket blir etterlevd, men også gi konkret støtte til å opprettholde den operative beredskapen over tid.

Gjennom å ta til seg og handle i henhold til stegene over kan finansbransjen og deres leverandører sikre at de er forberedt på DORA når den trer i kraft i januar 2025. Selv om det kan føles som om det er god tid til å oppnå etterlevelse, er det på høy tid å starte opp arbeidet nå.