Search

DORAs ramverk för ICT-risker: vem är ansvarig för vad?

I en alltmer digitaliserad värld står finansiella enheter inför ett växande antal risker med information and communication technology  (ICT). För att hantera dessa utmaningar har Europeiska unionen infört förordningen Digital Operational Resilience Act (DORA). DORA syftar till att skapa ett robust och omfattande ramverk för ICT-riskhantering för att säkerställa säkerhet, stabilitet och kontinuitet för finansiella tjänster. I den här bloggen kommer vi att fördjupa oss i de viktigaste komponenterna i DORA och dess betydelse för finanssektorn.

Förståelse av DORA-förordningen

Digital Operational Resilience Act beskriver ett brett och långtgående ramverk som är utformat för att hantera olika ICT-risker som finansiella enheter står inför. Förordningen omfattar ett brett spektrum av aspekter, inklusive ICT-riskhantering, backup-policyer, detektionsmekanismer, respons- och återhämtningsförfaranden, kommunikationsstrategier med mera.

1. Ramverk för riskhantering inom ICT

Kärnan i DORA är ramverket för hantering av ICT-risker. Finansiella enheter är skyldiga att upprätta en sund, omfattande och väldokumenterad strategi för att hantera ICT-risker på ett effektivt sätt. Detta ramverk ska skydda både information och ICT-tillgångar, inklusive datorprogram, hårdvara och känslig infrastruktur, från obehörig åtkomst, skada och användning.

Ansvar för: Högsta ledningen, Chief Information Officer (CIO), Chief Technology Officer (CTO), IT-säkerhetsteamet, riskhanteringsteamet.

2. ICT-system, protokoll och verktyg

Finansiella enheter måste använda och underhålla uppdaterade ICT-system, protokoll och verktyg som är lämpliga för omfattningen av deras verksamhet. Dessa system ska vara tillförlitliga, kunna behandla data korrekt och snabbt samt vara tekniskt motståndskraftiga för att hantera ogynnsamma situationer.

Ansvar för: IT-avdelningen

3. Identifiering och detektering

För att snabbt upptäcka avvikande aktiviteter och potentiella hot måste finansiella enheter identifiera och klassificera alla ICT-stödda affärsfunktioner, informationstillgångar och beroenden. Detekteringsmekanismer ska möjliggöra flera kontrollnivåer, definiera tröskelvärden för varningar och utlösa processer för incidenthantering.

Ansvar för: IT-säkerhetsteam, incidenthanteringsteam, IT-driftsteam

4. Insatser och återhämtning

DORA föreskriver implementering av policyer för kontinuitet i ICT-verksamheten samt svars- och återställningsförfaranden för att säkerställa kontinuiteten i kritiska funktioner. Dessa åtgärder inkluderar metoder för säkerhetskopiering och återställning samt säker datahantering.

Ansvar för: Business Continuity Manager, Incident Response Team, IT Operations Team

5. Kommunikation

Finansiella enheter måste ha kriskommunikationsplaner för att på ett ansvarsfullt sätt informera kunder, motparter och allmänheten om större ICT-relaterade incidenter. De ska också upprätta interna och externa kommunikationspolicyer för att säkerställa att relevant information förmedlas i rätt tid till personal och intressenter.

Ansvar för: Kriskommunikationsteamet, PR-teamet (Public Relations), högsta ledningen

6. Lärande och utveckling

En lärande kultur är avgörande för att hantera ICT-risker effektivt. Finansiella enheter måste samla in information om sårbarheter, analysera cyberhot och incidenter samt genomföra granskningar efter incidenter för att uppnå förbättringar.

Ansvar för: Team för incidenthantering, Team för riskhantering

7. Förenklat ramverk för stödberättigade enheter

Vissa små och icke sammankopplade finansiella enheter är undantagna från de omfattande DORA-kraven. Istället följer de ett förenklat ICT-riskhanteringsramverk som är anpassat till deras behov och betonar snabb och effektiv riskhantering samtidigt som systemsäkerhet och motståndskraft upprätthålls.Vissa små och icke sammanlänkade finansiella enheter är undantagna från de omfattande DORA-kraven. Istället följer de ett förenklat ICT-riskhanteringsramverk som är anpassat efter deras behov och som betonar snabb och effektiv riskhantering samtidigt som systemsäkerhet och motståndskraft upprätthålls.

Slutsats

DORA-förordningen utgör ett betydande steg framåt för att säkra det digitala landskapet för finansiella enheter. Genom att implementera ett omfattande ramverk för ICT-riskhantering kan organisationer skydda sin verksamhet, skydda känsliga uppgifter och säkerställa kontinuiteten i kritiska funktioner. Det förenklade ramverket för behöriga enheter främjar också anpassningsförmåga och motståndskraft, vilket gör det möjligt för dem att navigera i den digitala världen med tillförsikt. Genom samarbete och kontinuerligt lärande kan finanssektorn anamma DORA som en katalysator för starkare digital operativ motståndskraft.

Behöver ni råd om DORA-förordningen?

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.