Select your country

BelgiumBelgium

ChinaChina

DenmarkDenmark

FranceFrance

GermanyGermany

GlobalGlobal

Maghreb & West AfricaMaghreb & West Africa

NetherlandsNetherlands

NorwayNorway

South AfricaSouth Africa

SwedenSweden

SwitzerlandSwitzerland

United KingdomUnited Kingdom

Not finding what you are looking for, select your country from our regional selector:

Search

  1. Denmark
  2. Insights
  3. Blog
  4. Regulations
  5. Danske blogs
  6. DORAs rammeværk for IKT-risici: Hvem har ansvaret for hvad?

DORAs rammeværk for IKT-risici: Hvem har ansvaret for hvad?

Assess & AdviceComplianceCybersecurityData SecurityDetect & RespondRegulations

Share

I en stadig mere digital verden står finansielle virksomheder og organisationer over for et voksende antal risici inden for informations- og kommunikationsteknologi (IKT). For at imødegå disse udfordringer har EU vedtaget DORA-forordningen – Digital Operational Resilience Act. DORA har til formål at etablere et solidt og omfattende rammeværk for håndtering af IKT-risici, der skal sikre finanssektorens sikkerhed, stabilitet og drift.

I dette blogindlæg dykker vi ned i hovedkomponenterne i DORA og forklarer, hvorfor forordningen er så vigtig for den finansielle sektor.

Hvad handler DORA-forordningen om?

DORA opstiller et bredt og gennemgribende rammeværk, der adresserer forskellige typer IKT-risici, som finansielle aktører kan stå over for. Det omfatter blandt andet styring af IKT-risici, backup-politikker, detektionsmekanismer, reaktions- og gendannelsesprocedurer, kommunikationsstrategier og meget mere.

1. Rammeværk for IKT-risikostyring

Kernen i DORA er et velfungerende, dokumenteret og helhedsorienteret rammeværk for håndtering af IKT-risici. Finansielle virksomheder og organisationer skal beskytte både informationer og IKT-aktiver – f.eks. software, hardware og følsomme infrastrukturer – mod uautoriseret adgang, skader og misbrug.

Ansvaret ligger hos: Direktionen, CIO, CTO, IT-sikkerhedsteamet, risikostyringsteamet

2. IKT-systemer, protokoller og værktøjer

Finansielle virksomheder og organisationer skal anvende og vedligeholde passende og opdaterede IKT-systemer og værktøjer i forhold til deres størrelse og kompleksitet. Systemerne skal være pålidelige, kunne behandle data hurtigt og præcist og være robuste nok til at håndtere krisesituationer.

Ansvaret ligger hos: IT-afdelingen

3. Identifikation og detektion

Finansielle virksomheder og organisationer skal kunne identificere og klassificere alle IKT-understøttede forretningsfunktioner, informationsaktiver og afhængigheder. Effektive overvågningsløsninger til trusselsdetektering skal sikre lagdelt kontrol, sætte alarmgrænser og aktivere beredskabsprocedurer.

Ansvaret ligger hos: IT-sikkerhedsteamet, incident response-teamet, IT-driftafdelingen

4. Reaktion og gendannelse

DORA kræver, at viksomheder og organisationer, der opererer indenfor den finansielle sektor, har politikker for forretningskontinuitet samt procedurer for reaktion og gendannelse, så kritiske funktioner kan opretholdes. Det omfatter fx backup- og gendannelsesmetoder og sikker datastyring.

Ansvaret ligger hos: Business Continuity Managers, incident response-teamet, IT-driftafdelingen

5. Kommunikation

Finansielle virksomheder og organisationer skal have en krisekommunikationsplan, så de ansvarligt kan informere kunder, samarbejdspartnere og offentligheden ved alvorlige IKT-hændelser. Der skal også være interne og eksterne kommunikationspolitikker, der sikrer rettidig og relevant information til medarbejdere og interessenter.

Ansvaret ligger hos: Krisekommunikationsteamet, PR-afdelingen, direktionen

6. Læring og udvikling

Etableringen og vedligeholdelsen af en sund læringskultur er afgørende for effektiv håndtering af IKT-risici. Derfor er det vigtigt at finansielle virksomheder og organisationer indsamler al tilgængelig viden om sårbarheder, analyserer cybertrusler og sikkerhedshændelser samt gennemfører evalueringer efter hændelser for løbende forbedringer.

Ansvaret ligger hos: Incident response-teamet, risikostyringsteamet

7. Forenklet rammeværk for visse virksomheder

Mindre og ikke-sammenkoblede finansielle virksomheder og organisationer er undtaget fra de fulde DORA-krav. I stedet følger de en forenklet tilgang til IKT-risikostyring, som er tilpasset deres behov og fokuserer på hurtig og effektiv risikohåndtering uden at gå på kompromis med sikkerhed og robusthed.

Konklusion

DORA er et vigtigt skridt mod øget digital sikkerhed i den finansielle sektor. Et stærkt og struktureret rammeværk for IKT-risikostyring beskytter virksomhedernes drift, data og kritiske funktioner. Den forenklede model gør det muligt for mindre aktører at følge med og opbygge den nødvendige modstandsdygtighed, som sikrer deres forretning, deres data og deres kunder.

Gennem øget samarbejde og kontinuerlig læring gennem best practice kan finanssektoren bruge DORA som løftestang for en mere robust og fremtidssikret digital infrastruktur.

 

Hvis du har brug for rådgivning om, hvordan din virksomhed skal forholde sig til NIS2-direktivet eller DORA-forordningen, så tag kontakt til en af vores eksperter eller udfyld formularen herunder.

Bo Drejer

GRC Manager

Jonas Jacobsen

MSS Sales Specialist

Ulrik Ledertoug

Director of Business Development & Services

Vi kontakter dig

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.