Digital Operational Resilience Act (DORA) – för förbättrad hantering av IKT-risker inom EU
Förlitan på digitala lösningar och tjänster inom finanssektorn är obestridlig. Det europeiska samhället är i sin tur beroende av förtroendet för motståndskraften hos finansiella aktörer. DORA är den senaste regleringen av kritiska sektorer som specifikt reglerar hanteringen av IKT-risker inom finansiella institutioner.
Varför en ny reglering?
Digital Operational Resilience Act (DORA) syftar till att skapa ett enhetligt tillvägagångssätt för att mildra IKT-relaterade incidenter och säkerställa att finanssektorn i Europa kan upprätthålla motståndskraftiga verksamheter. DORA ställer enhetliga krav på säkerheten i finansiella aktörers nätverk och informationssystem. Den skapar ett robust ramverk för hantering av IKT-relaterade risker, där alla finansiella aktörer måste säkerställa att de kan stå emot, reagera på och återhämta sig från alla typer av IKT-relaterade störningar och hot. DORA gäller för ett brett spektrum av finansiella aktörer (kreditinstitut, betalningsinstitut, centrala motparter, handelsplatser, försäkrings- och återförsäkringsbolag, kreditvärderingsinstitut, etc.) och tredje parts leverantörer av informations- och kommunikationsteknik (IKT). Direktivets bestämmelser trädde i kraft i januari 2023 och kommer att tillämpas från och med den 17 januari 2025.
Vad innebär det i praktiken?
För att upprätthålla full kontroll över IKT-risker behöver finansiella aktörer ha omfattande förmågor för att möjliggöra en stark och effektiv hantering av IKT-risker, samt specifika mekanismer och policyer för att hantera alla IKT-relaterade incidenter och för att rapportera större IKT-relaterade incidenter. Finansiella aktörer bör också ha policyer på plats för testning av IKT-system, kontroller och processer, samt för hantering av IKT-relaterade risker från tredje part.
DORA kommer att bli en verklig spelväxlare för hur finansiella aktörer närmar sig operativ motståndskraft. Det skapar ett behov av en annorlunda och bredare syn på motståndskraft och kräver utveckling av sofistikerade nya förmågor.
Med rätt angreppssätt kan DORA:
- Förbättra förmågan att hantera digitala risker.
- Fördjupa kunskap och förståelse för verksamhetens påverkan av operativa störningar i ledningsgrupper och styrelser.
- Skapa säkerhet genom att se till att åtgärder finns på plats genom avancerade säkerhetstester.
- Inkludera tredje parter i riskhanteringen och skapa en övergripande kontroll av IKT-relaterade operativa risker.
Vad innebär proportionalitetsprincipen?
DORA inkluderar en proportionalitetsprincip som innebär att finansiella aktörer ska implementera reglerna med hänsyn till deras storlek och övergripande riskprofil, tillsammans med arten, omfattningen och komplexiteten av deras tjänster, aktiviteter och verksamheter.
DORA begränsar också regleringens omfattning för finansiella aktörer som klassificeras som ”mikro”, ”små” eller ”medelstora” företag, vilket innebär att vissa av de mest avancerade kraven på digital testning endast kommer att gälla för de största, ”betydande” finansiella aktörerna.
Hur kan Seadot Cybersecurity Support hjälpa till?
Det finns nu en förberedelseperiod fram till den 17 januari 2025. Under denna period kommer tekniska och implementeringsstandarder att släppas för att ytterligare specificera kraven.
Men det finns ingen tid att förlora, finansiella aktörer bör nu genomföra en gap- och mognadsbedömning baserat på de slutliga kraven i DORA Level 1-texten och de kommande Level 2-standarderna. Seadots erfarna efterlevnadsexperter kan stödja i att identifiera var kapabilitets-, resurs- och expertisbrister för närvarande finns för att uppnå en effektiv implementeringsperiod.
Vi rekommenderar att fokusera på:
- Styrning av IKT-risker inklusive identifiering av kritiska och viktiga funktioner.
- Mognaden i insamling och analys av incident- och hotdata.
- Sofistikeringen i scenariotester och avancerad scenarioskapning.
- Förmågan att analysera risker i tredje part.
Vi kan också hjälpa till med implementeringen av identifierade åtgärder för att säkerställa efterlevnad av DORA-reglerna i enlighet med regulatoriska tidsfrister. Vi har erfarenhet och kunskap inom styrning, riskhantering, incident- och kontinuitetshantering, tredje parts risker och andra relevanta områden.
Slutligen kan vi hjälpa dig att hålla dig uppdaterad med den regulatoriska agendan genom kontinuerlig efterlevnadsövervakning och hålla dig uppdaterad om utvecklingen av DORA och dess tekniska standarder.
Ladda ner Ladda ner informationen kring DORAAtt bygga digital operativ motståndskraft i ett företag handlar inte bara om tekniska lösningar och regleringar, utan också om medvetenhet, kunskap och kontinuerlig förbättring inom organisationen samt hos ledningen och medarbetarna. En styrelse i en finansiell aktör är enligt DORA skyldig att ha kunskap i riskhantering, informationssäkerhet och dessutom ta det övergripande ansvaret för att hantera IKT-risker och kontinuitet.
Ladda ner Ladda ner informationen kring DORA-utbildning för styrelsen