Syftet med DORA, som är en förkortning av Digital Operational Resilience Act, är att stärka den finansiella sektorns motståndskraft mot cyberhot och säkerställa att företagen inom sektorn är redo att hantera incidenter och avbrott som kan uppstå på grund av digitala störningar. Lagen har antagits av Europeiska Unionen (EU) och den förväntas träda i kraft i hela EU-området senast 2025. När det kommer till finanssektorm kommer reglerna inte bara gälla banker, utan de flesta företag – som till exempel försäkringsbolag och värdepappersföretag – inklusive kritiska tredjepartsleverantörer av IKT-tjänster.
DORA har utformats för att uppdatera och stärka de befintliga EU-regelverken för cybersäkerhet och operativ motståndskraft i den finansiella sektorn. Genom att införa en enhetlig uppsättning standarder och krav för företag inom sektorn, kommer DORA att förbättra den övergripande cybersäkerheten och motståndskraften inom EU:s finansiella system.
DORA:s syfte är också att se till att företag inom den finansiella sektorn är fullt medvetna om de risker som är förknippade med deras digitala verksamhet och att de har lämpliga strategier och planer på plats för att hantera dessa risker. Genom att införa krav på riskbedömningar, incidenthantering och säkerhetsrevisioner kommer DORA att hjälpa företag att identifiera, bedöma och hantera säkerhetsrisker på ett proaktivt sätt.
DORA kommer att påverka många företag som är beroende av IT och digitala processer, inklusive företag inom finanssektorn, energibranschen, telekommunikation och e-handel.
Vad behövs för att uppfylla det nya regelverket?
För att uppfylla kraven i DORA måste företagen genomföra en riskbedömning av sina digitala processer och IT-system för att identifiera eventuella sårbarheter och risker. De måste också utveckla en strategi för att hantera dessa risker och ha en plan för att hantera incidenter och avbrott.
En annan viktig aspekt av DORA är att företagen måste ha en tillräcklig nivå av kompetens inom IT-säkerhet och digitala processer. Detta innebär att företagen måste utbilda sin personal och se till att de har tillräcklig kunskap och färdigheter för att hantera digitala processer och IT-system på ett säkert sätt.
För att uppfylla kraven i DORA behöver företag samarbeta med leverantörer och tredjepartsleverantörer för att säkerställa att deras IT-system är robusta och säkra. De måste också samarbeta med tillsynsmyndigheter för att rapportera om incidenter och avbrott och för att genomföra nödvändiga åtgärder för att hantera dem.
DORA innebär en omfattande förändring för företag med stort IT-beroende och kräver en hög nivå av transparens, kontroll och samarbete. För att anpassa sig till den nya lagstiftningen behöver företag genomföra riskbedömningar, utveckla strategier för att hantera risker och incidenter, utbilda sin personal och samarbeta med leverantörer och tillsynsmyndigheter. Genom att ta dessa steg kan företag säkerställa att de är rustade för att hantera digitala hot och incidenter och att de uppfyller kraven i den nya EU-lagstiftningen DORA.
DORA innebär en omfattande förändring för företag med stort IT-beroende och kräver en hög nivå av transparens, kontroll och samarbete.
Vad bör ni som företag göra?
De viktigaste kontrollerna som bör införas för att företag ska uppfylla kraven i DORA beror på företagets specifika situation och riskprofil. Generellt sett bör företag överväga att införa följande kontroller:
1. Riskbedömning och hantering
Företaget bör genomföra en riskbedömning av sina digitala processer och IT-system för att identifiera eventuella sårbarheter och risker. Baserat på resultaten av riskbedömningen, bör företaget utveckla en strategi för att hantera dessa risker och ha en plan för att hantera incidenter och avbrott.
2. Kontinuerlig övervakning
Företaget bör övervaka sina digitala processer och IT-system kontinuerligt för att identifiera eventuella avvikelser eller hot som kan påverka dess motståndskraft. Detta kan göras genom att använda automatiserade övervakningssystem och incidenthanteringsverktyg.
3. Tredjepartskontroll
Företaget bör utvärdera säkerhetsnivån hos sina leverantörer och tredjepartsleverantörer för att säkerställa att deras IT-system är robusta och säkra. Detta kan göras genom att genomföra regelbundna säkerhetsrevisioner och att kräva att leverantörer uppfyller vissa säkerhetsstandarder.
4. Uppdateringar och patchar
Företaget bör se till att dess IT-system är uppdaterade med de senaste säkerhetspatcharna och att eventuella kända sårbarheter åtgärdas snabbt. Detta kan göras genom att ha en uppdateringsplan och rutiner för att hantera kända sårbarheter.
5. Incidenthantering och rapportering
Företaget bör ha en plan för att hantera incidenter och avbrott och en process för att rapportera incidenter till tillsynsmyndigheter. Detta kan inkludera att ha en incidenthanteringspolicy och att utbilda personalen om hur man rapporterar incidenter.
Dessa kontroller är inte uttömmande och varje företag bör anpassa sina kontroller efter sin specifika situation och riskprofil. Det är också viktigt att kontrollerna implementeras på ett systematiskt och kontinuerligt sätt för att säkerställa att företaget uppfyller kraven i DORA över tiden.
Att lägga upp ett projekt för att analysera DORA och kartlägga nuläget kan vara en omfattande uppgift, men det finns några steg som kan följas för att underlätta processen. Stegen 2-7 nedan kan med fördel genomföras i mindre inkrement som upprepas i flera iterationer. Projektet etablerar därmed en kontinuerlig leverans vilket kan upplevas mer fördelaktigt av den beställande organisationen jämfört med större leveranser efter varje genomfört steg.
1. Etablera ett team
Det första steget är att utse en projektledare och ett arbetsteam om ska ansvara för framdriften. Arbetsteamet bör ha en blandning av kompetenser inom teknik, cybersäkerhet, compliance och riskhantering. Det är viktigt att även bestämma hur styrningen av projektet ska ske.
2. Analysera kraven i DORA
Nästa steg är att analysera kraven i DORA för att förstå vad som krävs av företaget. Detta inkluderar att identifiera vilka processer som påverkas och vilka krav som måste uppfyllas.
3. Kartlägg nuläget
När kraven har analyserats är nästa steg att kartlägga företagets nuläge. Detta inkluderar att utvärdera befintliga processer, tekniska lösningar och policies för att bedöma om de uppfyller DORA-kraven.
4. Identifiera gap
Baserat på kartläggningen av nuläget kan gap identifieras mellan befintliga lösningar och DORA-kraven. Det är viktigt att identifiera dessa gap noggrant för att kunna utveckla en plan för att stänga dem.
5. Utveckla en plan för att stänga gap
För att stänga gap mellan nuläget och DORA-kraven behöver företaget utveckla en plan med tydliga åtgärder och tidsramar för att implementera förbättringar.
6. Implementera förbättringar
När planen är på plats är nästa steg att implementera förbättringarna. Detta kan inkludera att införa nya tekniska lösningar, ändra policies eller genomföra utbildning för personalen.
7. Kontinuerlig övervakning
Efter att förbättringarna har implementerats är det viktigt att kontinuerligt övervaka företagets cybersäkerhet och processer för att se till att de fortsätter att uppfylla DORA-kraven och förbli motståndskraftiga mot cyberhot.
Sammanfattningsvis är det viktigt att ett företag inom den finansiella sektorn har en plan för att analysera DORA, kartlägga nuläge och stänga eventuella gap. Genom att utse en projektledare och ett team, analysera kraven i DORA, kartlägga nuläget, identifiera gap, utveckla en plan för att stänga gapet, implementera förbättringar och kontinuerligt övervaka cybersäkerheten kan företaget säkerställa att de uppfyller DORA-kraven och är motståndskraftiga mot cyberhot.
Mindbanque har både kompetens och samarbetspartners för att genomföra och förvalta ert arbete med att öka er övergripande cybersäkerhet, motståndskraft mot cyberhot och efterleva DORA.
Carl Berglund
Senior Business Consultant
2023-05-02