Etterlevelse av EU DORA: En omfattende veiledning

Digital Operational Resilience Act (DORA) er en EU-forordning som har som mål å styrke finansinstitusjonenes digitale robusthet. Denne veiledningen beskriver DORAs krav til risikostyring, hendelsesrapportering og robusthetstesting.

Hva inneholder denne håndboken?

Hva er DORA? ● Hovedmålene med DORA ● Hvem er DORA relevant for? ● Forberedelser for DORA-samsvar ● Detaljerte trinn for DORA-samsvar ● Hva er Signicats rolle?

DORA i kortform

Hva er DORA?

Digital Operational Resilience Act (DORA) er en forordning vedtatt av EU for å styrke finansinstitusjonenes digitale operasjonelle robusthet. Formålet er å sikre at finansinstitusjonene kan motstå og gjenopprette seg etter alle typer IKT-relaterte forstyrrelser og trusler. DORA innfører strenge krav til risikostyring, hendelsesrapportering og robusthetstesting, og etablerer et rammeverk for tilsyn og håndheving av kompetente myndigheter.

Ved å harmonisere disse standardene i hele EU søker DORA å styrke stabiliteten og sikkerheten i finanssektoren, beskytte forbrukerne og opprettholde markedsintegriteten i et stadig mer digitalisert landskap. DORA skal etter planen tre i kraft 17. januar 2025.

Les forordningen på EUR-Lex

Mål

Hovedmålsettingene til DORA

Økt IT-sikkerhet og driftssikkerhet

DORA har som mål å sikre at finansinstitusjonene kan motstå, reagere på og komme seg etter alle typer IKT-relaterte forstyrrelser og trusler.
Harmonisering av regelverk

Ved å skape et enhetlig rammeverk søker DORA å redusere fragmenteringen av regelverket og skape like konkurransevilkår i hele EU.
Beskyttelse av forbrukere og finansiell stabilitet

Ved å sikre at finansinstitusjonene er robuste, bidrar vi til å beskytte forbrukerne og opprettholde stabiliteten og integriteten i det finansielle systemet.

Hvem er DORA relevant for?

DORA gjelder for et bredt spekter av finansielle enheter i EU, og omfatter både tradisjonelle finansinstitusjoner og ulike andre aktører i det finansielle økosystemet.

- Banker og kredittinstitusjoner: Som hovedaktører i det finansielle systemet må bankene overholde DORA for å sikre at virksomheten deres forblir robust mot forstyrrelser.
- Forsikringsselskaper: Disse enhetene må sikre sine operasjonelle prosesser for å beskytte forsikringstakerne og opprettholde tilliten.
- Verdipapirforetak: Verdipapirforetak må sikre driften for å sikre kontinuerlig levering av tjenester og beskytte investorenes interesser.
- Leverandører av betalingstjenester: Disse enhetene må sørge for at systemene deres er robuste for å unngå avbrudd i betalingstjenestene.
DORA utvider også kravene til å omfatte kritiske tredjepartsleverandører, for eksempel skytjenesteleverandører, dataanalyseselskaper og andre IKT-leverandører som tilbyr viktige tjenester til finansinstitusjoner. Disse leverandørene spiller en avgjørende rolle for finansinstitusjonenes operative robusthet og må følge de samme standardene for å sikre robustheten i finanssystemet.
- Regulatorer og tilsynsmyndigheter: De må føre tilsyn med implementeringen og etterlevelsen av DORA.
- Finansmarkedsinfrastrukturer: Disse enhetene, som omfatter verdipapirsentraler og handelsplattformer, må sørge for at systemene deres er sikre og motstandsdyktige.
- Leverandører av utkontrakteringstjenester: Alle tredjeparts tjenesteleverandører som håndterer kritiske eller viktige funksjoner for finansforetak, må overholde kravene i DORA.

Forberedelse til DORA-samsvar

For å oppnå samsvar med DORA må finansforetak og relevante interessenter gjennomføre flere viktige steg. Forberedelsene innebærer å forstå kravene, implementere nødvendige endringer og kontinuerlig overvåke og forbedre de operasjonelle tiltakene for å sikre resiliens.

Det første skrittet mot etterlevelse er å sette seg grundig inn i kravene som stilles av DORA. Dette innebærer å gjøre seg kjent med de spesifikke artiklene og retningslinjene i forskriften. Viktige fokusområder er blant annet
- Rammeverk for risikostyring: Utvikling av et omfattende rammeverk for risikostyring som tar for seg IKT-risikoer.
- Rapportering av hendelser: Etablering av prosesser for rapportering av IKT-relaterte hendelser til relevante myndigheter.
- Testing av digital driftsrobusthet: Regelmessig testing av robustheten til systemer og prosesser.
- Deling av informasjon: Delta i ordninger for informasjonsdeling for å styrke den kollektive sikkerheten.
- Risikohåndtering hos tredjeparter: Sørge for at tredjepartsleverandører overholder DORA-kravene.
Når kravene er forstått, må finansforetakene gjennomføre de nødvendige endringene for å overholde DORA. Dette innebærer
- Utvikle robuste retningslinjer og prosedyrer: Utarbeide og oppdatere retningslinjer og prosedyrer for å oppfylle DORA-kravene.
- Forbedre IKT-infrastrukturen: Investere i teknologi og infrastruktur for å forbedre robustheten og sikkerheten.
- Opplærings- og bevisstgjøringsprogrammer: Opplæring av de ansatte i viktigheten av robusthet i driften og deres rolle i arbeidet med å overholde kravene.
- Gjennomføre risikovurderinger: Regelmessig vurdering og reduksjon av IKT-risikoer gjennom omfattende risikovurderinger.
Å oppnå samsvar med DORA er ikke en engangsforeteelse, men krever kontinuerlig overvåking og forbedring. Finansielle enheter bør:
- Gjennomføre regelmessige revisjoner og evalueringer: Gjennomgå og vurder regelmessig samsvar med DORA-kravene.
- Implementere prosesser for kontinuerlig forbedring: Bruk funnene fra revisjoner og vurderinger til å kontinuerlig forbedre de operasjonelle tiltakene.
- Hold deg oppdatert om endringer i regelverket: Hold deg oppdatert på eventuelle oppdateringer eller endringer i DORA, og juster samsvarsarbeidet deretter.

Detaljerte trinn for å overholde DORA

Organisasjoner kan ta disse syv stegene for å forberede seg på å overholde DORA.

Trinn 1: Etablere et rammeverk for styring

Et robust rammeverk for styring er avgjørende for å overvåke arbeidet med å etterleve DORA. Dette inkluderer:

Utnevne en DORA Compliance Officer: Utpeke en toppleder med ansvar for å føre tilsyn med at DORA overholdes.
Opprettelse av en compliance-komité: Opprett en komité bestående av medlemmer fra ulike avdelinger for å sikre et helhetlig compliance-arbeid.
Utvikle en strategi for etterlevelse: Utarbeid en klar strategi for å oppnå og opprettholde samsvar med DORA.

Trinn 2: Gjennomfør en gap-analyse

Ved å gjennomføre en gap-analyse kan man identifisere områder der dagens praksis ikke oppfyller kravene i DORA. Dette innebærer

Kartlegge nåværende praksis i forhold til DORA-kravene: Sammenlign eksisterende retningslinjer, prosedyrer og kontroller med DORAs retningslinjer.
Identifisere mangler og svakheter: Identifiser områder som må forbedres for å oppfylle kravene.
Utvikle en plan for utbedring: Utarbeid en detaljert plan for å utbedre identifiserte mangler og forbedre den operasjonelle robustheten.

Trinn 3: Forbedre praksisen for risikostyring

Forbedring av risikostyringspraksis er avgjørende for å overholde DORA. Dette inkluderer

Utvikle en policy for risikostyring: Utarbeid en policy som beskriver tilnærmingen til håndtering av IKT-risiko.
Gjennomføre regelmessige risikovurderinger: Utfør grundige risikovurderinger for å identifisere og redusere potensielle trusler.
Implementere risikoreduserende tiltak: Utvikle og iverksette kontroller for å håndtere identifiserte risikoer og øke robustheten.

Trinn 4: Styrke rapportering av hendelser og respons

Effektive mekanismer for rapportering av hendelser og respons er avgjørende for å overholde DORA. Dette innebærer

Etablere protokoller for rapportering av hendelser: Utarbeid klare prosedyrer for rapportering av IKT-relaterte hendelser til relevante myndigheter.
Utvikle en plan for respons på hendelser: Skissere trinnene for å reagere på og gjenopprette etter IKT-hendelser.
Opplæring av ansatte i hendelsesrespons: Gi de ansatte opplæring i deres roller og ansvar i forbindelse med hendelsesrespons.

Trinn 5: Gjennomfør testing av digital resiliens

Regelmessig testing av digital driftsstabilitet er et sentralt krav i DORA. Dette inkluderer:

Utvikle en teststrategi: Lag en omfattende strategi for testing av systemenes og prosessenes robusthet.
Gjennomføre regelmessige tester: Utfør regelmessige tester av robusthet, inkludert penetrasjonstesting og scenariobasert testing.
Analysere testresultater: Gjennomgå og analyser testresultatene for å identifisere svakheter og forbedringsområder.

Trinn 6: Forbedre risikostyringen hos tredjeparter

Det er avgjørende å sikre at tredjepartsleverandører overholder kravene i DORA. Dette innebærer

Vurdere tredjepartsrisiko: Evaluer risikoen forbundet med tredjepartsleverandører og deres innvirkning på den operasjonelle robustheten.
Utvikle retningslinjer for håndtering av tredjepartsrisiko: Utarbeide retningslinjer og prosedyrer for håndtering av tredjepartsrisikoer.
Overvåke tredjeparters etterlevelse: Vurder og overvåk regelmessig tredjepartsleverandører for å sikre at de overholder kravene i DORA.

Trinn 7: Fremme informasjonsdeling og samarbeid

Samarbeid og informasjonsdeling er avgjørende for å styrke den kollektive sikkerheten. Dette inkluderer:

Delta i initiativer for informasjonsdeling: Delta i bransjeomfattende informasjonsdelingsinitiativer for å holde deg informert om nye trusler.
Samarbeide med andre enheter: Samarbeid med andre finansielle enheter for å dele beste praksis og styrke den kollektive motstandskraften.
Rapportering til tilsynsmyndigheter: Sørg for at hendelser og etterlevelsestiltak rapporteres til tilsynsmyndighetene i tide.

Sikkerhet og samsvar

Alt handler om tillit

Signicat tar de nødvendige skritt for å oppfylle gjeldende DORA-kravene og for å sikre en smidig overgang for kundene våre.

Vi leverer forretningskritiske tjenester til Europas største selskaper. Våre drifts-, system-, utviklings- og støtteprosesser er allerede i samsvar med de strengeste standardene for IKT-risikostyring, hendelsesrapportering og tredjepartstilsyn med tjenester - inkludert ISO/IEC 27001, SOC2 og andre standarder.