Digital Operational Resilience Act (DORA) - Er din virksomhet klar?

Publisert: 11. november 2022
Oppdatert: 9. mars 2023

Hva innebærer den nye forordningen?

EU-kommisjonen har over en lengre periode jobbet med å få på plass Digital Operational Resilience Act (DORA), en forordning som har til hensikt å øke den operasjonelle motstandsdyktigheten i finanssektoren og bidra til en ansvarlig digitalisering. DORA (eller digital operasjonell motstandsdyktighet på norsk) ble 10. november formelt godkjent i Europaparlamentets plenumsmøte, og trådte i kraft 16. januar 2023.

Finanssektoren kategoriseres som organisasjoner med høy grad av sammenkobling og avhengighet til IT-systemer. Følgelig kan en lokal cyber-hendelse få store konsekvenser, ettersom hendelsen kan forplante seg fra et individuelt finansforetak til øvrige deler av det finansielle systemet, og på den måten true den økonomiske stabiliteten i Europa.

DORA innebærer at det stilles strengere og harmoniserte krav til finansforetak i EU, samt deres kritiske leverandører innen informasjons- og kommunikasjonsteknologi (IKT). Ved brudd på forordningen er relevante myndigheter autorisert til å kreve at tiltak blir iverksatt. De vil også kunne utstede administrative bøter eller kreve opphør av enhver praksis som er i brudd med forordningen.

Hvordan vil DORA påvirke norske selskaper?

Det er et ønske om å harmonisere reglene for det indre markedet, inkludert EØS-landene. Det arbeides derfor for at forordningen skal tre i kraft samtidig i EU og EØS. Regelverket må imidlertid godkjennes som en del av EØS-avtalen før den kan innføres i norsk rett.

Finansdepartementet skrev i desember 2020 at det antas at reglene må implementeres i lov ved henvisning. Dette innebærer at forordningen i sin helhet blir gjort til norsk lov, ord for ord.

Norske banker og forsikringsforetak forventes i dag å følge retningslinjene satt av European Banking Autority (EBA) og European Insurance and Occupational Pension Authority (EIOPA). Foretak som allerede følger disse retningslinjene, er godt forberedt på implementeringen av DORA. Det vil likevel være behov for ytterligere tiltak, blant annet knyttet til hendelseshåndtering, sikkerhetstesting og i forbindelse med bruk av tredjeparts IKT-leverandører. For de som i dag ikke etterlever EBA og EIOPA retningslinjene, forventes det vesentlig behov for tilpasninger for å etterleve kravene fastsatt i DORA.

En nærmere titt på forordningens oppbygning og innhold

DORA består av fem overordnede områder, også kalt søyler, som i sum har til hensikt å sørge for operasjonelle motstandsdyktigheten i finanssektoren og bidra til en ansvarlig digitalisering.

1. IKT-risikostyring

DORA pålegger firmaets ledelsesorgan å ta "fullt og endelig ansvar" for håndtering av IKT-risikoer, for å fastsette og godkjenne sin digitale operasjonelle motstandsdyktighetsstrategi, og for å gjennomgå og godkjenne firmaets policy for bruk av IKT-tredjepartsleverandører.

Kravene, som er inspirert av relevante internasjonale bransjestandarder og anbefalinger, dreier seg om spesifikke funksjoner innen IKT-risikostyring knyttet til identifisering, beskyttelse og forebygging, deteksjon, respons og gjenoppretting, læring og utvikling og kommunikasjon.

2. Hendelsesrapportering

DORAs rammeverk for hendelsesrapportering er ment å harmonisere en rekke eksisterende EU-forpliktelser. Rammeverket for klassifisering, varsling og rapportering vil utfordre bedrifter til å forbedre deres evne til å samle inn, analysere og dele informasjon om IKT-hendelser og -trusler.

Kun IKT-relaterte hendelser som vurderes som alvorlige skal rapporteres til tilsynsmyndigheter, og foretaket må levere både innledende og endelige rapporter. Det legges også opp til at berørte brukere skal informeres.

3. Digital operasjonell stabilitetstesting

Alle selskaper må vise at de gjennomfører et passende sett med sikkerhets- og motstandstester på sine kritiske IKT-systemer og applikasjoner minst årlig. Foretak som etter reglene blir definert som tilstrekkelig viktige er i tillegg pålagt å gjennomføre avansert angrepssimulering hvert tredje år. Det stilles sertifiseringskrav til de som skal utføre testene for å sørge for tilstrekkelig kompetanse.

Det stilles også krav til at svakheter som avdekkes gjennom testingen skal «fullstendig adresseres».

4. Risiko fra kritiske tredjeparts IKT-leverandører

Fjerde søyle omfatter forsvarlig overvåking av IKT-tredjepartsrisiko. Vurdering av risiko fra tredjeparter skal være en integrert del av foretakets IKT-risikostyring. Foretakene må definere og jevnlig vurdere sin strategi for håndtering av tredjepart-risiko, for eksempel bruk av ulike leverandører. Foretak må også ha på plass en exit strategi.

Videre må foretakene inkludere en rekke vilkår i kontraktene med sine kritiske leverandører innen implementeringsfristen til DORA. Kontraktene må blant annet inneholde en komplett beskrivelse av tjenester, lokasjoner for oppbevaring av data, tilgjengelighet og sikkerhet. Med begrepet «kritiske leverandører» menes alle leverandører som finansforetaket direkte eller indirekte benytter seg av og som har en avgjørende betydning for finansforetakets kritiske prosesser.

Det er også viktig å merke seg at finansforetak som omfattes av DORA ikke vil kunne benytte seg av tredjepartsleverandører som ikke har forretningslokasjon i EU.

5. Informasjonsdeling

Det siste området omfatter krav om opprettelse av en plattform for informasjonsdeling, hvor EU ønsker å styrke den totale motstandsdyktigheten i finansmarkedet ved at finansforetakene skal dele informasjon og etterretning innenfor cybersikkerhet. I dette ligger det at finansforetakene i enda større grad enn tidligere må samarbeide på tvers av landegrenser.

Hvordan bør din virksomhet forberede seg?

Nå som DORA formelt er godkjent, har finansforetak frem til 16. januar 2025 på å innrette seg etter de nye reglene. Ettersom det vil være mye nytt å definere og implementere de neste to årene bør virksomheter allerede nå begynne sine DORA-forberedelser.

For å være best mulig posisjonert til å implementere de mer detaljerte tekniske standardene (Level 2 dokumentene) som kommer i Q3 2023, anbefaler vi at foretak gjør følgende aktiviteter allerede nå:

1. Avklare eierskap for arbeidet med å implementere DORA i foretaket. For å lykkes med implementeringen av forordningen kreves det en tverrfaglig tilnærming med involvering av de relevante forretningsområdene
2. Gjennomfør en GAP-analyse (readiness assessment) for å identifisere vesentlige avvik til forordningen og klargjøre organisasjonen for utbedring av disse.
3. Identifisere og dokumentere kritiske forretningsprosesser
4. Få oversikt over kritiske leverandører og innholdet i tilhørende kontrakter

Tilsvarende bør selskaper som klassifiseres som kritiske leverandører for finansforetakene også påbegynne sitt arbeid for å implementere kravene i DORA. Leverandørene som tidlig kan vise til at de oppfyller kravene i DORA vil kunne få en markedsfordel.

Forordningen har som nevnt til hensikt å harmonisere sikkerhetskravene til finansforetak i det indre marked. Det legges opp til en forholdsmessig implementering, slik at hvert selskap må foreta egne vurderinger av kravene. Videre stilles det andre krav til såkalte «mikroforetak», som er finansforetak som har mindre enn 10 ansatte og som har en omsetning under 2 millioner euro. Dette innebærer at de enkelte foretakene må vurdere både juridiske forhold og hvordan kravene skal implementeres i praksis.

Er du usikker på om ditt foretak vil omfattes av DORA eller har spørsmål om hvordan dere allerede nå kan gjøre tiltak for å sikre at dere etterlever DORA? Kontakt oss gjerne. Du finner vår kontaktinformasjon under.