Digital motstandsdyktighet i finansnæringen
IT-JUSS: I midten av desember i fjor ble det i EU vedtatt en ny forordning om digital operasjonell motstandsdyktighet i finanssektoren (DORA-forordningen). Formålet med forordningen er å skape et enhetlig europeisk regelverk for håndtering og vurdering av IKT-risiko i finansnæringen. Forordningen gjelder blant annet for banker, kredittforetak, investeringsforetak, forsikringsforetak, og en rekke andre aktører i finansnæringen.
DORA-forordningen stiller overordnet krav om at ledelsen i virksomhetene må etablere et rammeverk for kontroll av IKT-risiko. Dette innebærer blant annet løpende å identifisere og dokumentere IKT-risiko i virksomheten, ha rutiner og verktøy som sikrer informasjonssikkerheten i virksomheten, ha rutiner for å oppdage unormal aktivitet og respondere på IKT-relaterte hendelser, og rutiner for sikkerhetskopiering og gjenoppretting av data. Ledelsen skal også opprette IKT-relaterte funksjoner i virksomheten, og sørge for en klar rolle- og ansvarsfordeling for slike funksjoner.
Som en integrert del av rammeverket for kontroll av IKT-risiko skal virksomhetene gjennomføre testing av sin egen digitale motstandsdyktighet.
Som en integrert del av rammeverket for kontroll av IKT-risiko skal virksomhetene gjennomføre testing av sin egen digitale motstandsdyktighet. Virksomhetene skal ha en risikobasert tilnærming ved gjennomføringen av slike tester. Det innebærer at hvordan testingen konkret skal gjennomføres vil avhenge av virksomhetens risikoprofil, hvor kompleks virksomheten er, og hvor kritisk virksomhetens tjenester er for markedet. Enkelte virksomheter er pålagt å gjennomføre trusselbasert penetrasjonstesting (TLPT) minst en gang hvert tredje år.
Forordningen krever også at virksomhetene håndterer risiko knyttet til tredjepartsleverandører av IKT-tjenester. Dette innebærer blant annet at virksomhetene må gjennomføre risikovurderinger før de inngår avtaler med leverandører av IKT-tjenester, og må sørge for at leverandørene de benytter følger anerkjente standarder for informasjonssikkerhet.
Forordningen stiller videre krav til virksomhetenes rapportering av IKT-relaterte hendelser. Alvorlige hendelser skal rapporteres til tilsynsmyndighetene. Dersom hendelsen berører virksomhetens kunder, krever forordningen at kundene varsles om hendelsen og hvilke tiltak virksomheten har iverksatt for å redusere skadevirkningene av hendelsen. Det vil bli utviklet standardiserte rapporteringsmaler som virksomhetene skal benytte for å oppfylle forordningens krav om rapportering av hendelser.
Forordningen er allerede ikraftsatt i EU. Den vil etter alle solemerker inkluderes i EØS-avtalen, og dermed gjennomføres i Norge. Selv om det allerede finnes regler om håndtering av IKT-risiko i norsk finansnæring, er DORA-forordningen et langt mer detaljert regelsett en eksisterende reguleringer. Finanstilsynet har dermed varslet at forordningen vil medføre en del tilpasning også for norske aktører.
