Skip to main content

DORA

Digital Operational Resilience Act - gjelder for alle finansielle aktører, uavhengig av størrelse

KONTAKT OSS

Virkeområdet

EU - gjelder for alle finansielle aktører, uavhengig av størrelse, inkludert banker, forsikringsselskaper, investeringsselskaper, betalingstjenesteleverandører, verdipapirforetak, børser, pensjonsforetak, finansielle infrastrukturer, samt IKT-leverandører som yter kritiske tjenester til finansielle enheter.

Beskrivelse

Formålet med Digital Operational Resilience Act er å sikre høy grad av digital operasjonell motstandsdyktighet hos foretak i finanssektoren. DORA gir regler for styring av risiko, hendelseshåndtering, testing av digital operasjonell motstandsdyktighet, styring av tredjepartsrisiko og deling av informasjon på IKT-området.edrifter i å sikre sensitiv informasjon, oppfylle lovkrav som GDPR og NIS 2-direktivet, og bygge tillit hos kunder og samarbeidspartnere.

Kjernekomponenter i DORA

1. IKT-risikostyring

Organisasjoner må etablere et robust rammeverk for å identifisere, vurdere, håndtere og overvåke IKT-risiko. Dette inkluderer:

  • Risikoidentifisering: Kartlegging av potensielle trusler (f.eks. cyberangrep, systemfeil).
  • Risikovurdering: Analyse av sannsynlighet og konsekvenser.
  • Risikoreduserende tiltak: Implementering av sikkerhetsløsninger (f.eks. kryptering, tilgangskontroll).
  • Overvåking og rapportering: Kontinuerlig oppfølging og dokumentasjon.

2. IKT-hendelseshåndtering

Organisasjoner må ha klare prosesser for å håndtere, klassifisere og rapportere IKT-hendelser:

  • Deteksjon: Oppdage hendelser raskt (f.eks. via overvåkingsverktøy).
  • Respons: Iverksette tiltak for å begrense skader.
  • Rapportering: Melde alvorlige hendelser til tilsynsmyndigheter (f.eks. Finanstilsynet i Norge) innen 1 time etter oppdagelse.
  • Gjenoppretting: Sikre rask tilbakeføring til normal drift.

3. Digital operasjonell motstandsdyktighetstesting

Organisasjoner må regelmessig teste sin digitale motstandsdyktighet:

  • Sårbarhetstester: Identifisere svakheter i systemer.
  • Trusselsimuleringer: Simulere cyberangrep for å teste respons.
  • Penetrasjonstester: Aktive tester for å avdekke sikkerhetshull.
  • Frekvens: Minst årlig for kritiske systemer.

4. IKT-risiko fra tredjeparter

Organisasjoner må overvåke og styre risiko knyttet til leverandører og underleverandører:

  • Due diligence: Vurdere tredjeparters sikkerhetsnivå før samarbeid.
  • Kontraktskrav: Sikre at avtaler inkluderer sikkerhetskrav og ansvarsfordeling.
  • Kontinuerlig overvåking: Regelmessig evaluere tredjeparters etterlevelse.

5. Informasjonsdeling

Organisasjoner må dele relevant informasjon om IKT-trusler og hendelser med:

  • Tilsynsmyndigheter (f.eks. Finanstilsynet).
  • Andre finansielle aktører (for å forebygge systemiske risikoer).
  • EUs cybertrusselsinformasjonsplattform (f.eks. ECCC – European Cyber Crises Coordination).