Hvad er DORA?

Digital Operational Resilience Act (DORA) er en del af et nyt cybersikkerhedsrammeværk rettet mod den finansielle sektor. DORA er en forordning, som blev vedtaget den 28. november 2022 og trådte i kraft den 27. december 2022. Derefter er der en implementeringsperiode på 21 måneder, hvilket vil sige, at fra d. 17. januar 2024, skal kravene i DORA være tilstrækkeligt implementeret, i de berørte virksomheder.

Som med NIS2 er intentionen at styrke beskyttelsen af kritisk infrastruktur. DORA er dog målrettet den finansielle sektor, hvor der er en stor afhængighed af IKT-tjenester, som gør det muligt for brugerne at få adgang til, redigere og overføre oplysninger. Den forbedrede sikkerhed skal styrkes gennem strenge krav til håndtering af leverandører samt regelmæssige trusselsbaserede evalueringer af netværks- og informationssystemer.

 

DORA forordning

Hvilke krav er der i DORA-forordningen?

  • IT-risikostyring: Principper og krav til IT-risikostyring
  • Hændelsesrapportering: En udvidelse af de finansielles enheders forpligtelser omkring hændelsesrapportering
  • Test: Krav om grundlæggende og avanceret test af digital operationel robusthed, eksempelvis penetration test og sårbarheds test
  • Leverandørstyring: Overvågning af risici, krav til kontrakter og tilsyn med kritiske leverandører
  • Informationsdeling: Frivillig udveksling af information og efterretninger vedrørende cybertrusler og angreb

hVAD ER FORMÅLET MED DORA?

  • Forbedrer virksomhedens cybersikkerhed og minimerer sårbarheder.
  • Reducerer risikoen for ødelæggende cyberangreb, der ellers kunne resulterer i ekstra omkostninger.
  • Forbedrer incidentrapporteringsprocedurer, hvilket kan fremskynde genoprettelsen efter et angreb.
  • Fremmer en proaktiv tilgang til risikostyring, hvilket hjælper med at forudsige og forhindre fremtidige trusler.
  • Gør det lettere at koordinere med andre virksomheder og organisationer i EU om cybersikkerhed.
  • Øger virksomhedens IT-resiliens og opretholder drift i tilfælde af angreb.
  • Kan forbedre virksomhedens omdømme ved at demonstrere forpligtelse til høj cybersikkerhed.

Hvilke virksomhedstyper er omfattet af DORA?

  • Kreditinstitutter, betalingsinstitutter, og investeringsselskaber, elektroniske pengeinstitutter
  • Forsikrings- og pensionsselskaber
  • Værdipapircentraler
  • Kreditvurderingsbureauer
  • Udbydere af services til crypto-aktiver
  • Tjenesteudbydere af netværksfinansiering
  • Tredjepartsudbydere af it-sikkerhedstjenester.
 

Hvordan kommer din organisation i gang med implementeringsprocessen?

Digital Operationel Resilience Act (DORA) bygger på og udvider de eksisterende reguleringsmæssige krav ved at indføre nye forpligtelser for de omfattede organisationer. Selvom mange allerede har en vis erfaring med at håndtere compliance og lovgivningsmæssige krav på både nationalt og internationalt niveau, præsenterer DORA nye krav, som kan være mindre bekendte eller mere omfattende end tidligere.

For at imødekommen forordningen er det vigtigt for finansielle organisationer at anerkende behovet for digital og operationel robusthed. Uanset organisationens nuværende modenhedsniveau er det vigtigt at påbegynde eller intensivere indsatsen for at opbygge denne robusthed. Et godt udgangspunkt er at foretage en GAP-analyse for at identificere eventuelle mangler mellem nuværende processer og de krav, der er stillet i DORA-forordningen. 

 

HAR I BEHOV FOR HJÆLP TIL IMPLEMENTERINGEN?

Hos Leave a Mark har vi erfaring med implementering af flere sikkerhedsstandarder sammen med DORA.
Ønsker I sparring eller hjælp til implementeringen, kan I klikke på nedenstående eller ringe og få en uforpligtende snak med os på +45 535 27000

Kontaktformular

DORA’s kerneområder for implementering

Kerneområde 1: Forstå kravene i DORA

I den første fase gennemgår vi DORA-forordningens krav og vurderer, hvordan de specifikt vedrører din organisations kontekst. Dette indebærer en kortlægning og GAP-analyse af de områder i din organisation, der er omfattet af forordningens bestemmelser. Dette vil give grundlaget for en implementeringsplan.                         

Kerneområde 2: Risikostyring

På baggrund af implementeringsplanen, vil der implementeres en ramme for risikostyring. Vi vil derfor analysere det passende niveau af IT-sikkerhed samt vurdere den nuværende IT-infrastruktur, systemer og processer for at identificere risici. Dette omfatter en risikoanalyse af de identificerede risici. På baggrund af risikoanalysen, vil der blive udarbejdet og implementeret politikker, procedurer og andre foranstaltninger for at minimere eller eliminere disse risici. Efter gennemgangen af disse processer vil vi etablere en løbende overvågning for at sikre, at risici fortsat håndteres effektivt i virksomheden.

Kerneområde 3: Test af beredskabsplaner & test og overvågning af IKT-sikkerhed

Et andet krav i forordningen er gennemførelsen af grundlæggende test af digital operationel robusthed ved hjælp af Threat-Led Penetration Tests (TLPT). Her vil der anvendes TLPT til at evaluere virksomhedens infrastruktur med det formål at identificere og udnytte sårbarheder. Formålet med TLPT er at simulere angreb fra en potentiel hacker eller ondsindet aktør for at afsløre svagheder og identificere områder, hvor der er risiko for uautoriseret adgang eller datatab.

                   

Kerneområde 4: Leverandør-styring

Forordningen introducerer også skærpede krav for virksomheder i den finansielle sektor for leverandør-styring. Her vil vi vurdere både eksisterende og potentielle leverandører for at sikre overholdelse af DORA-forordningens krav. Dette indebærer fastlæggelse af kriterier for valg af leverandører baseret på organisationens sikkerhedsforanstaltninger og overholdelse af sikkerhedsstandarder. I denne forbindelse vil der også indarbejdes DORA-relaterede krav i kontrakter med både nuværende og fremtidige leverandører. Herefter vil der regelmæssigt overvåges, at leverandøren lever op til de kontraktuelle forpligtelser.

Kerneområde 5: Hændelse-rapportering

Et andet krav i forordningen er, at virksomheden skal have etableret specifikke procedurer for dokumentation og rapportering af IT-sikkerhedsbrud. Dette medfører en betydelig udvidelse af de finansielle enheders forpligtelser vedrørende hændelsesrapportering. Vores rådgivere vil derfor udvikle klare retningslinjer og procedurer for intern rapportering af hændelser, samt etablere rapporteringskanaler og fastsætte tidsrammer for indberetning.

                   

Kerneområde 6: Informationsdeling

Der skal yderligere forholdes sig til udveksling af information og efterretninger om cybertrusler. Her vil tilsynsmyndigheden dele anonymiserede oplysninger og efterretninger om cybertrusler. Her vil vores rådgivere etableres politikker og procedurer, der sikrer, at de modtagne oplysninger fra myndighederne bliver gennemgået og håndteret effektivt på tværs af organisationen.