Digital Operational Recilliance Act (DORA)
DORA (Digital Operational Resilience Act) er et EU-regelverk som har som hovedmål å styrke den digitale operasjonelle motstandsdyktigheten i finanssektoren.
Regelverket trådte i kraft i EU 16. januar 2023 og blir bindende fra 17. januar 2025. I Norge forventer Finanstilsynet at DORA innføres i norsk rett uten vesentlige forsinkelser, gjennom "Lov om digital operasjonell motstandsdyktighet i finanssektoren".
DORA gjelder for alle finansinstitusjoner og deres kritiske IKT-leverandører, men kravene tilpasses etter proporsjonalitetsprinsippet. Det innebærer at virksomhetens størrelse, kompleksitet og risikoeksponering avgjør hvor omfattende kravene blir.
Regelverket stiller detaljerte krav til prosesser og tiltak innen IKT-risikostyring, hendelseshåndtering, testing av digital motstandsdyktighet og tredjepartsstyring, som må implementeres for å sikre etterlevelse.
Styring av IKT-risiko
Finansielle enheter skal ha på plass en intern styrings- og kontrollstruktur som sikrer en effektiv og forsvarlig håndtering av IKT-risiko. Ledelsen er ansvarlig for risikorammeverket og IKT-risiko skal knyttes sammen med risikorammeverket til resten av virksomheten.
Risikorammeverket må dokumenteres i retningslinjer og roller og ansvar skal tydelig fordeles. Rammeverket må minimum gjennomgås årlig, eller ved hendelser som inntreffer, resultater av tester gjennomført eller instruksjoner fra tilsyn.
Alle systemer må være oppdaterte og teknologisk robuste. IT-eiendeler, leverandører og kritiske forretningsprosesser må identifiseres og registreres og knyttes til risikorammeverket.
Når dette er definert må virksomheten avsette tilstrekkelig kapasitet for å overvåke brukeraktivitet, forekomst av unormalitet og hendelser, særlig cyberangrep. I tilfelle hendelser skal beredskapsplaner være lett tilgjengelig og snarlig iverksettes. Aktivitetene som gjennomføres må dokumenteres, læringspunkter skal identifiseres og være grunnlag for videre opplæring.
Håndtering av hendelser
Finansielle institusjoner skal definere, etablere og implementere en prosess for håndtering av ICT-relaterte hendelser for å oppdage, håndtere og varsle om slike hendelser.
Alle hendelser og betydelige cybersikkerhetstrusler skal registreres og det skal etablere egnede prosedyrer og prosesser for å sikre en konsistent og integrert overvåking, håndtering og oppfølging av IKT-relaterte hendelser, slik at rotårsakene identifiseres, dokumenteres og håndteres for å forhindre at slike hendelser oppstår.
Det må være etablert tydelige roller og ansvar slik at kommunikasjon internt, eksternt og til styret og ledelsen ivaretas på en god måte.
Alle hendelser skal klassifiseres basert på alvorlighetsgrad, og Nivå 2 regelverket til Dora beskriver dette i detalj. Særlig alvorlige hendelser skal også rapporteres til tilsynsmyndigheten i henhold til de kravene de setter.
.jpeg)
Testing av digital motstandsdyktighet
.jpeg)
Finansielle enheter skal etablere, opprettholde og evaluere et solid og omfattende program for testing av digital operasjonell robusthet som en integrert del av IKT-risikostyringsrammeverket. Målet med testprogrammet er å vurdere beredskapen for håndtering av hendelser, identifisere svakheter, mangler og gap i den digitale operasjonelle robustheten slik at man er i stand til å raskt kunne gjennomføre korrigerende tiltak.
Testingen skal gjennomføres risikobasert og skal følge proporsjonalitetsprinsippet i Dora.
Testprogrammet skal inneholde gjennomføring av passende tester, slik som sårbarhetsvurderinger og -skanninger, analyser av åpen kildekode, vurderinger av nettverkssikkerhet, gap-analyser, gjennomgang av fysisk sikkerhet, spørreskjemaer og skanningsprogramvare, kildekodegjennomganger der det er mulig, scenariotesting, kompatibilitetstesting, ytelsestesting, end-to-end-testing og penetrasjonstesting.
Testingen kan foretas av interne med de krav som stilles til uavhengighet. Uansett skal hver tredje test gjennomføres av eksterne.
Styring av 3. parts risiko
Finansielle enheter skal håndtere risiko knyttet til tredjeparter innen IKT som en integrert del av IKT-risiko innenfor deres rammeverk for IKT-risikostyring. Strategien rundt håndteringen skal dokumenteres og besluttes av ledelsen.
Håndteringen av risiko knyttet til tredjeparter skal gjennomføres jevnlig og i lys av proporsjonalitetsprinsippet. Dette betyr i praksis at omfang, kompleksitet og kritikalitet må vurderes i hvert leverandørforhold for å avgjøre om de er involvert i kritiske eller viktige funksjoner for virksomheten.
Før avtalen med leverandøren inngå skal det vurderes om leverandøren støtter kritiske eller viktige funksjoner og om alle tilsynsbetingelser er oppfylt. I tillegg skal det gjennomføres en risikovurdering og en due dilligence på leverandøren samt at evt. interessekonflikter skal identifiseres.
Virksomheten skal sikre at det kan føres jevnlig tilsyn/ revisjon med leverandøren og at det finnes exit-muligheter fra kontrakten dersom uakseptable brudd forekommer.
.jpeg)
Informasjonsdeling
.jpeg)
Finansielle enheter kan utveksle informasjon og etterretning om cybertrusler, inkludert indikatorer på kompromittering, taktikker, teknikker og prosedyrer, cybersikkerhetsvarsler og konfigurasjonsverktøy, i den grad slik informasjons- og etterretningsdeling har som formål å styrke den digitale driftsmessige robustheten, skjer innenfor betrodde fellesskap av finansielle enheter eller gjennomføres gjennom informasjonsutvekslingsordninger som beskytter den potensielt sensitive karakteren til den delte informasjonen.
Dersom virksomheten deltar i slike informasjonsutvekslingsordninger skal myndigheter informeres om når virksomheten ble med i ordningen. Det skal også gis informasjon til tilsynsmyndigheter dersom medlemsskap avsluttes.