DORA: Fem steg for å bli klar for det kommende regelverket i finansbransjen

Mange selskap på utsiden av finanssektoren vil også berøres. Selv som leverandør vil man bli nødt til å tilpasse seg kravene. For leverandører av it-tjenester, i tillegg til distribusjonskanalen, er det derfor viktig å forstå hvordan DORA kommer til å påvirke dem, og forberede seg på reguleringene som trer i kraft tidlig neste år. Manglende etterlevelse kan føre til strenge økonomiske straffer.

En praktisk og konkret måte for organisasjonen å komme i gang er å følge de fem enkle stegene under. De gir en god støtte til arbeidet med å oppfylle kravene til cyber-motstandskraft som DORA stiller.

1. Finn ut om dere berøres av reglene

DORA omfatter hele finansbransjen i EU/EØS: Alle banker, forsikringsselskap og aktørene i verdipapirmarkedet – uansett størrelse og omsetning. Reguleringen omfatter også hele forsyningskjeden til finansbransjen, inklusive underleverandører i flere ledd. Dette innebærer at selv selskapene som forsyner organisasjonene innen finanstjenester med it-systemer og -tjenester må sørge for at de oppfyller kravene – dette omfatter alt fra skytjenester og datasentre til KI.

2. Gjør en risikovurdering

Digital motstandsdyktighet i finansnæringen

Ifølge DORA må en organisasjon kunne vise til en beredskap for å håndtere it-relaterte hendelser, inklusive cyberangrep. Derfor er det viktig at ledelsen tar seg tid til å forstå hvor det finnes mulige åpninger i virksomheten cyberforsvar – I tillegg til å vite hvordan oppdage, rapportere om, og gjenopprette etter en hendelse.

Gjennom å gjennomføre en risikovurdering både for egen organisasjon og leverandørkjeden kan sårbare områder identifiseres og i neste trinn utvikle en handlingsplan for å bøte på disse.

3. Utvikle en handlingsplan

Når risikovurderingen for organisasjonen er fullført, er det på tide å lage en handlingsplan for etterlevelse. Den må forankres i kravene som beskrives i DORA (artikel 6.8) og forklare hvordan deres it-risikohåndteringsarbeid støtter forretningsmålene og den høyere strategien. Handlingsplanen bør også etablere virksomhetens toleransenivå for risiko, vise virksomhetens eksisterende infrastruktur, beskrive de etablerte mekanismene for å detektere hendelser, samt forklare hvordan virksomheten skal kommunisere, både internt i organisasjonen og eksternt ved et angrep. DORA stiller tydelige krav, blant annet til hendelsesrapportering, tester av scenarioer og risikohåndtering.

4. Utdann nøkkelpersonellet

I tillegg til å ha et program for risikohåndtering på plass stiller DORA også krav til sikkerhetsbevissthet og opplæring for styremedlemmer, toppledere og ansatte. Det virker rimelig, med tanke på at interne faktorer er estimert til å ligge bak omkring 60 prosent av alle databrudd – med eller uten hensikt. Alle ansatte i organisasjonen må få regelmessig trening på cybersikkerhet og være i stand til å gjenkjenne typiske tegn på et angrep – for eksempel å rapportere hendelser til de sikkerhetsansvarlige.

5. Gå regelmessig gjennom planene

Når DORA blir norsk lov kommer alle organisasjoner som berøres til å få sin plan for risikohåndtering gjennomgått regelmessig, i tillegg til når det har skjedd en it-relatert hendelse. Derfor er det viktig at dere selv gjennomgår beredskapen regelmessig, for å sikre at planen fremdeles er relevant og aktuell, og at den blir kontinuerlig oppdatert i henhold til lovkravene der det er påkrevd. Denne gjennomgangen skal ikke bare sikre at regelverket blir etterlevd, men også gi konkret støtte til å opprettholde den operative beredskapen over tid.

Gjennom å ta til seg og handle i henhold til stegene over kan finansbransjen og deres leverandører sikre at de er forberedt på DORA når den trer i kraft i januar 2025. Selv om det kan føles som om det er god tid til å oppnå etterlevelse, er det på høy tid å starte opp arbeidet nå.