SAMFUNN | IT-juss
DORA: Fersk lærdom fra tilsynsrapportene til Finanstilsynet
Finanstilsynet har gjennomført stedlige IKT-tilsyn hos flere mindre finansforetak. I dette innlegget gis en oppsummering av hvilke krav Finanstilsynet har satt søkelys på.
Lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven) med forskrift trådte i kraft 1. juli 2025 og har skjerpet kravene til finansforetaks digitale sikkerhet. Reglene gjelder for de fleste finansielle enheter og medfører krav til deres IKT-leverandører.
Tilsynsrapportene viser hvordan Finanstilsynet tolker og håndhever reglene i praksis. Med fokus på DORA-lovens regler gjennomførte tilsynet nylig flere målrettede stedlige IKT-tilsyn. Tilsynene gjaldt i denne omgang finansaktører som Fremtind Forsikring, Haugesund Sparebank, Landkreditt Bank og Storebrand Asset Management.
Overordnet oppsummering
DORA-loven har strenge krav til aktiv ledelsesforankret, dokumenterbar kontroll, også over tredjepartsrisiko, og tilsynsrapportene setter et søkelys på disse kravene. Reglene er nye og etter hvert vil det bli aktuelt for Finanstilsynet å gi finansforetak overtredelsesgebyrer på opptil 50 millioner kroner.
For IKT-leverandører vil det være et konkurransefortrinn å kunne tilby god kontroll, som oppdragsbasert tilgangsstyring, testinfrastruktur og transparent innsyn for bankenes og forsikringsselskapenes egne kontrollfunksjoner. Den leverandøren som står best i markedet i lys av de nye reglene, vil ikke nødvendigvis være den som lover mest, men den som vil kunne bistå kunder med DORA-etterlevelse på en effektiv, selvstendig og dokumenterbar måte. Her kreves det samarbeid i kunde- og leverandørforholdet, og partene bør i kontrakts- og reforhandlinger også tenke gjennom hvem som skal bære kostnadene for økte krav.
Her er noen viktige lærdommer fra tilsynsrapportene:
Styret og ledelse må på banen
Et gjennomgående trekk i rapportene er at Finanstilsynet forventer at finansforetakene følger opp styregodkjente styringsdokumenter i praksis, og at kontrollfunksjonene verifiserer at kravene er operasjonalisert. DORA-loven stiller krav til et forsvarlig, helhetlig og veldokumentert rammeverk for IKT-risikostyring som en del av det overordnede styringssystemet, med mål om å sikre en høy grad av digital operasjonell motstandsdyktighet.
Finanstilsynet stilte seg blant annet kritisk til at et finansforetak ikke nevnte DORA med ett ord i sin reviderte IKT-håndbok. Manglende henvisninger kan indikere at kravene i DORA-loven ikke er implementert i foretakets styringssystem.
Finanstilsynet fremhevet viktigheten av at IKT-styringssystemet er solid forankret i foretakets ledelse, at vedtatte retningslinjer og rutiner etterleves i praksis og at de jevnlig følges opp og revideres. Styret skal sikre tilgang til risikoinformasjon, fastlegge omfang, format og frekvens på rapportering for å etterleve regelverket.
Gjennomføring av konsekvensanalyse
Finansforetak er forpliktet til å gjennomføre konsekvensanalyse av virksomheten for å vurdere forretningsmessige konsekvenser ved IKT-avbrudd. Finanstilsynet påpeker at slike analyser må være tilstrekkelig konkrete og at det ikke er tilstrekkelig med overordnede konsekvensvurderinger.
Konsekvensanalysene danner fundamentet for både finansforetakenes interne sikkerhetstiltak og hvilke krav finansforetak må stille til IKT-leverandørene.
Tredjepartsrisiko og leverandøroppfølging
DORA-loven krever at finansforetakene utøver en streng og aktiv kontroll med sine IKT-leverandører, med tett oppfølging. Finansforetak må etablere et system for leverandørstyring med klare roller og løpende risikovurdering, hvor tilstrekkelige kontraktsbetingelser sørger for at hele verdikjeden kan følges opp.
Ikke nok med passiv mottakelse av revisjonsrapporter
I ett tilfelle var oppfølgningen av en hovedleverandør begrenset til mottak av ISAE 3402-rapporter og tilgjengelighetsvurderinger. Finanstilsynet fant ikke dette tilstrekkelig og uttalte at finansforetak bør i større grad følge opp hovedleverandører med egne kontroller.
IKT-leverandører kan ikke belage seg på å dokumentere DORA-etterlevelse ved å bare henvise til leverandørens egne revisjons- eller attestasjonsrapporter. Finansforetaket må gjennomføre aktive revisjoner selv og må sørge for at retten til revisjon er fastsatt i avtalene med IKT-leverandører.
Du kan ikke gjemme deg bak konsernet
Et tilsvarende budskap er at et finansforetak ikke skal lene seg for mye på metodikk fra konsern eller allianser. Haugesund Sparebank ble uttrykkelig minnet om at banken er selvstendig ansvarlig for vurdering av IKT-leveranser, uavhengig av om de har kvalitetsvurderinger og metodikk fra Eika Alliansen. Eika Alliansen leverer IKT-tjenester til Eika Gruppen, som Haugesund Sparebank er en deleier av.
Finanstilsynet forventer at finansforetakene gjør selvstendige vurderinger av risikoen og gjennomfører uavhengige revisjonsgjennomganger av IKT-tjenestene som kjøpes. IKT-leverandører må derfor tilrettelegge for en stor grad av transparens, slik at kundenes kontrollfunksjoner effektivt kan verifisere at leveransene følger avtalt sikkerhetsnivå.
Beredskapstester må være realistiske
Kanskje de mest merkbare konsekvensene for leverandører blir forventningene til beredskap og kontinuitet. På tvers av foretakene peker Finanstilsynet på at testing må inkludere relevante informasjonssikkerhetsscenarier, også verstefallsscenarier, og at gjenoppretting og alternativ drift må testes i praksis. Samtidig understrekes det at foretakene må gjøre testene til sine egne når IKT-tjenestene leveres av tredjepartsleverandører.
For leverandører betyr det at standardiserte beredskapsøvelser på leverandørnivå ofte ikke vil være nok. Finansforetakene må i økende grad kreve å delta i testplanlegging, definere tydeligere scenarioer, og motta dokumenterte resultater av funn og bevis for at testene er relevante for kundens kritiske prosesser. Leverandørene må kunne tilrettelegge for dette.
For leverandører betyr det at standardiserte beredskapsøvelser på leverandørnivå ofte ikke vil være nok.
Derav blir dette også et konkurransespørsmål. Leverandører som kan tilby realistiske gjenopprettingsøvelser, tydelig rollefordeling i kriser, dokumentert læring etter tester og evne til å involvere kunden i relevante scenarioer, vil stå sterkere enn leverandører som kun tilbyr generiske beredskapsøvelser.
Hele verdikjeden blir kontrollert nøye
Flere av rapportene er også tydelige på at oppfølgingen ikke skal stoppe hos hovedleverandøren. Fremtind Forsikring ble fulgt opp på kontroll med IKT-tjenesteleverandører og underleverandører, Haugesund Sparebank på underleverandørers tilgang til driftsmiljøet, og Landkreditt Bank på behovet for mer omfattende selvstendige kontroller av tredjepartsleverandører.
Lærdommen er at leverandørene må ha god kontroll på hele verdikjeden, og at leverandører må kunne tilrettelegge for tilsvarende kontroll av deres underleverandører. Leverandører må derfor sørge for å speile forpliktelsene fra sine kunder ned til sine egne underleverandører i kontraktene back-to-back.
