Hvad er DORA?

DORA, som står for Digital Operational Resilience Act, er en del af et nyt cybersikkerhedsrammeværk rettet mod den finansielle sektor. DORA blev vedtaget den 28. November 2022 og trådte i kraft den 27. december 2022. Derefter er der en implementeringsperiode på 21 måneder, hvilket vil sige, at fra d. 24. oktober 2024, skal kravene i DORA være tilstrækkeligt implementeret, i de berørte virksomheder.

Formålet med rammeværket er at udvikle en standardiseret og helhedsorienteret, tilgang til it-sikkerhed indenfor EU, som fremmer teknologisk udvikling og sikrer finansiel stabilitet og modstandsdygtighed overfor sikkerhedshændelser.

Finansielle virksomheder skal have evnen til at modstå, reagere og genoprette sig fra påvirkningen af cybertrusler. Dette sikrer at de kan opretholde leveringen af kritiske finansielle tjenester og samtidig minimere forstyrrelser for forbrugere og samfundet. 

 

DORAS ANVENDELSE

Finansielle institutioner, som opererer indenfor EU, samt leverandører, der leverer kritiske tjenester hertil, er underlagt DORA.

Konsekvenserne for manglende overholdelse af DORA kan omfatte bøder og sanktioner, såvel som tab af omdømme og kunder. 

For at overholde DORA skal virksomheder evaluere deres cybersikkerhedsrisici og implementere passende foranstaltninger for at beskytte deres netværk og informationssystemer. Derudover introduceres der penetrationstest, samt lægges der op til at finansielle tjenester tester deres systemer baseret på de tilknyttede risici.

hVAD ER FORMÅLET MED DORA?
  • Forbedrer virksomhedens cybersikkerhed og minimerer sårbarheder.
  • Reducerer risikoen for ødelæggende cyberangreb, der ellers kunne resulterer i ekstra omkostninger.
  • Forbedrer incidentrapporteringsprocedurer, hvilket kan fremskynde genoprettelsen efter et angreb.
  • Fremmer en proaktiv tilgang til risikostyring, hvilket hjælper med at forudsige og forhindre fremtidige trusler.
  • Gør det lettere at koordinere med andre virksomheder og organisationer i EU om cybersikkerhed.
  • Øger virksomhedens IT-resiliens og opretholder drift i tilfælde af angreb.
  • Kan forbedre virksomhedens omdømme ved at demonstrere forpligtelse til høj cybersikkerhed.

Virksomhedstyper, der er omfattet af DORA: 

  • Kreditinstitutter, betalingsinstitutter, og investeringsselskaber, elektroniske pengeinstitutter
  • Forsikrings- og pensionsselskaber
  • Værdipapircentraler
  • Kreditvurderingsbureauer
  • Udbydere af services til crypto-aktiver
  • Tjenesteudbydere af netværksfinansiering
  • Tredjepartsudbydere af it-sikkerhedstjenester.