Derfor er DORA-forordningen ikke bare en “finanssektor-version” af NIS2
11 October 2023
What are the differences between NIS2 and DORA? What are the requirements? Learn more in this blog.
DORAs rammeværk for IKT-risici: Hvem har ansvaret for hvad?
I en stadig mere digital verden står finansielle virksomheder og organisationer over for et voksende antal risici inden for informations- og kommunikationsteknologi (IKT). For at imødegå disse udfordringer har EU vedtaget DORA-forordningen – Digital Operational Resilience Act. DORA har til formål at etablere et solidt og omfattende rammeværk for håndtering af IKT-risici, der skal sikre finanssektorens sikkerhed, stabilitet og drift.
I dette blogindlæg dykker vi ned i hovedkomponenterne i DORA og forklarer, hvorfor forordningen er så vigtig for den finansielle sektor.
Hvad handler DORA-forordningen om?
DORA opstiller et bredt og gennemgribende rammeværk, der adresserer forskellige typer IKT-risici, som finansielle aktører kan stå over for. Det omfatter blandt andet styring af IKT-risici, backup-politikker, detektionsmekanismer, reaktions- og gendannelsesprocedurer, kommunikationsstrategier og meget mere.
1. Rammeværk for IKT-risikostyring
Kernen i DORA er et velfungerende, dokumenteret og helhedsorienteret rammeværk for håndtering af IKT-risici. Finansielle virksomheder og organisationer skal beskytte både informationer og IKT-aktiver – f.eks. software, hardware og følsomme infrastrukturer – mod uautoriseret adgang, skader og misbrug.
Ansvaret ligger hos: Direktionen, CIO, CTO, IT-sikkerhedsteamet, risikostyringsteamet
2. IKT-systemer, protokoller og værktøjer
Finansielle virksomheder og organisationer skal anvende og vedligeholde passende og opdaterede IKT-systemer og værktøjer i forhold til deres størrelse og kompleksitet. Systemerne skal være pålidelige, kunne behandle data hurtigt og præcist og være robuste nok til at håndtere krisesituationer.
Ansvaret ligger hos: IT-afdelingen
3. Identifikation og detektion
Finansielle virksomheder og organisationer skal kunne identificere og klassificere alle IKT-understøttede forretningsfunktioner, informationsaktiver og afhængigheder. Effektive overvågningsløsninger til trusselsdetektering skal sikre lagdelt kontrol, sætte alarmgrænser og aktivere beredskabsprocedurer.
Ansvaret ligger hos: IT-sikkerhedsteamet, incident response-teamet, IT-driftafdelingen
4. Reaktion og gendannelse
DORA kræver, at viksomheder og organisationer, der opererer indenfor den finansielle sektor, har politikker for forretningskontinuitet samt procedurer for reaktion og gendannelse, så kritiske funktioner kan opretholdes. Det omfatter fx backup- og gendannelsesmetoder og sikker datastyring.
Ansvaret ligger hos: Business Continuity Managers, incident response-teamet, IT-driftafdelingen
5. Kommunikation
Finansielle virksomheder og organisationer skal have en krisekommunikationsplan, så de ansvarligt kan informere kunder, samarbejdspartnere og offentligheden ved alvorlige IKT-hændelser. Der skal også være interne og eksterne kommunikationspolitikker, der sikrer rettidig og relevant information til medarbejdere og interessenter.
Ansvaret ligger hos: Krisekommunikationsteamet, PR-afdelingen, direktionen
6. Læring og udvikling
Etableringen og vedligeholdelsen af en sund læringskultur er afgørende for effektiv håndtering af IKT-risici. Derfor er det vigtigt at finansielle virksomheder og organisationer indsamler al tilgængelig viden om sårbarheder, analyserer cybertrusler og sikkerhedshændelser samt gennemfører evalueringer efter hændelser for løbende forbedringer.
Ansvaret ligger hos: Incident response-teamet, risikostyringsteamet
7. Forenklet rammeværk for visse virksomheder
Mindre og ikke-sammenkoblede finansielle virksomheder og organisationer er undtaget fra de fulde DORA-krav. I stedet følger de en forenklet tilgang til IKT-risikostyring, som er tilpasset deres behov og fokuserer på hurtig og effektiv risikohåndtering uden at gå på kompromis med sikkerhed og robusthed.
Konklusion
DORA er et vigtigt skridt mod øget digital sikkerhed i den finansielle sektor. Et stærkt og struktureret rammeværk for IKT-risikostyring beskytter virksomhedernes drift, data og kritiske funktioner. Den forenklede model gør det muligt for mindre aktører at følge med og opbygge den nødvendige modstandsdygtighed, som sikrer deres forretning, deres data og deres kunder.
Gennem øget samarbejde og kontinuerlig læring gennem best practice kan finanssektoren bruge DORA som løftestang for en mere robust og fremtidssikret digital infrastruktur.
Har du brug for rådgivning om, hvordan din virksomhed skal forholde sig til DORA-forordningen? Så tag kontakt til Bo Drejer – han og hele vores GRC-team er klar til at hjælpe dig videre.
