DORA-forordningen repræsenterer et væsentligt skridt fremad i EU’s bestræbelser på at styrke den digitale operationelle modstandsdygtighed inden for den finansielle sektor og udbydere af informations- og kommunikationsteknologi (IKT-tjenester). Det er en ny reguleringsramme, der sigter mod at skabe en robust og ensartet tilgang til it-sikkerhed, der sikrer finansiel stabilitet og forbrugerbeskyttelse.
Målet er en øget robusthed over for kommende cyber- og informationssikkerhedshændelser, så finansielle virksomheder og IKT-tjenesteudbydere kan forebygge og reagere på risici uden, at det kan mærkes hos kunder eller samfundet generelt.
Hvad er DORA-forordningen?
DORA, der står for Digital Operational Resilience Act, er en EU-forordning, der giver myndighederne mulighed for effektivt at overvåge og håndtere cyber- og IKT-risici hos de omfattede virksomheder. Forordningen finder anvendelse fra den 17. januar 2025.
Som med NIS2 er intentionen at styrke beskyttelsen af kritisk infrastruktur. DORA er dog målrettet den finansielle sektor, hvor der er en stor afhængighed af IKT-tjenester, som gør det muligt for brugerne at få adgang til, redigere og overføre oplysninger. Den forbedrede sikkerhed skal styrkes gennem strenge krav til håndtering af leverandører samt regelmæssige trusselsbaserede evalueringer af netværks- og informationssystemer.
Kort sagt sigter forordningen mod at harmonisere kravene til finansielle institutioners evne til at udvikle, styrke og løbende overvåge deres digitale operationelle modstandsdygtighed.
Hvem er omfattet af Digital Operational Resilience Act?
DORA-forordningen udgør en omfattende reguleringsramme, der er designet til at styrke den digitale operationelle modstandsdygtighed inden for hele den finansielle sektor. Forordningen har en bred rækkevidde og omfatter ikke kun traditionelle finansielle institutioner som banker, kreditinstitutter, betalingsudbydere, forsikrings- og genforsikringsselskaber samt investeringsselskaber, men også væsentlige tredjepartsudbydere af IKT-tjenester.
Det betyder, at forordningen ud over at adressere direkte finansielle enheder også pålægger betydelige krav til udbydere af kritiske IKT-tjenester, som de finansielle institutioner er afhængige af. For eksempel cloud computing-tjenester, datacentertjenester og andre digitale løsninger, der understøtter finansielle operationer. Formålet er at sikre, at både finansielle institutioner og deres nøgleleverandører af teknologi opretholder høje standarder for cybersikkerhed og operationel robusthed.
Hvilke krav stiller DORA?
Forordningen fastsætter en bred vifte af krav til blandt andet risikostyring, hændelseshåndtering og rapportering samt anvendelse af trusselsinformation. Leverandørstyring, dokumentationssikring, sikkerhedstest, IT-drift og cybersikkerhed er også centrale elementer.
Det betyder, at organisationers fokus flyttes fra at skulle dokumentere sin finansielle soliditet til også at skulle demonstrere, hvordan der opretholdes en modstandsdygtig drift i forbindelse med en IT-sikkerhedshændelser.
DORA stiller minimumskrav inden for 5 kategorier:
- Governance og risikostyring
- Hændelsesrapportering
- Test, beredskab og mitigering
- Tredjepartsrisikostyring
- Informationsdeling
1) Governance og risikostyring
Inden for governance og risikostyring stiller DORA-forordningen krav til, at organisationer implementerer politikker og retningslinjer. De skal blandt andet:
- udvikle og opretholde robuste IKT-systemer og -værktøjer, der begrænser virkningerne af IKT-risici
- identificere, kategorisere og dokumentere kritiske funktioner og aktiver i IT-infrastrukturen
- sikre kontinuerlig overvågning af IKT-risici for at implementere nødvendige beskyttelses- og forebyggelsestiltag
- hurtigt kunne identificere usædvanlige aktiviteter og reagere på dem
- udarbejde detaljerede beredskabsplaner til håndtering af IT-sikkerhedshændelser
- årligt teste katastrofe- og beredskabsplaner
- udvikle strategier for oplæring og uddannelse af medarbejdere baseret på både interne og eksterne hændelser
2) Hændelsesrapportering
I forbindelse med hændelsesrapportering er virksomheder, der er omfattet af DORA, forpligtet til at:
- udarbejde retningslinjer for at logge alle IKT-hændelser og fastlægge større hændelser på baggrund af gældende regler
- indgive en indledende, foreløbig og endelig rapport om de omfattede sikkerhedshændelser
- ensrette indberetningen af IKT-hændelser ved hjælp af standardskabeloner
3) Test, beredskab og mitigering
Når det kommer til kategorien, der indebærer test, beredskab og mitigering, skal virksomheder blandt andet:
- udføre årlige test af IKT-værktøjer og systemer
- identificere og hurtigst muligt afhjælpe eventuelle svagheder, mangler eller huller i sikkerheden
- regelmæssigt udføre trusselsbaserede penetrationstests (TLPT) for IKT-tjenester, der påvirker kritiske funktioner
4) Tredjepartsrisikostyring
DORA stiller også krav til, at tredjepartsudbydere af IKT-tjenester deltager og samarbejder fuldt ud i test af cyberberedskab. Dog skal finansielle virksomheder være opmærksom på, om deres tjenesteudbydere følger henstillingen ved at:
- sikre løbende overvågning af de risici, der skyldes tredjepartsudbydere af IKT-tjenester
- indberette et register over outsourcede aktiviteter samt eventuelle ændringer i outsourcingen af kritiske tjenester til tredjepart
- tage højde for risici som følge af ordninger for videreoutsourcing
- sikre fyldestgørende kontrakter med IKT-tjenesteudbydere med klare regler for overvågning og tilgængelighed
5) Informationsdeling
I forhold til informationsdeling er finansielle virksomheder pålagt at:
- skabe rammer for udveksling af information og efterretninger af cybertrusler med andre finansielle organisationer
- acceptere tilsynsmyndighedernes deling af relevante anonymiserede oplysninger og efterretninger om cybertrusler
Samspil mellem DORA og NIS2
DORA-forordningen har mange ligheder med NIS2-direktivet, og begge initiativer repræsenterer også et ønske om et højt sikkerhedsniveau mod cybertrusler. Men hvor NIS2 favner et bredt spektrum af brancher og sektorer, er DORA specifikt målrettet den finansielle sektor.
Et vigtigt aspekt af DORA er dog dens opfordring til en tæt kobling med NIS2 for at sikre en sammenhængende cybersikkerhedsstrategi på tværs af alle sektorer. Samspillet giver finansielle tilsynsmyndigheder mulighed for at blive informeret om cyberhændelser, der berører andre sektorer, og dermed understøtte en integreret reaktion på tværs af EU.
Tilsammen udgør DORA og NIS2 en omfattende ramme for cybersikkerhed, der sikrer en koordineret indsats for at beskytte EU's kritiske infrastrukturer.
Hvordan påvirker DORA din organisation?
Digital Operationel Resilience Act bygger på og udvider de eksisterende reguleringsmæssige krav ved at indføre nye forpligtelser for de omfattede organisationer. Selvom mange allerede har en vis erfaring med at håndtere compliance og lovgivningsmæssige krav på både nationalt og internationalt niveau, præsenterer DORA nye krav, som kan være mindre bekendte eller mere omfattende end tidligere.
For at imødekommen forordningen er det vigtigt for finansielle organisationer at anerkende behovet for digital og operationel robusthed. Uanset organisationens nuværende modenhedsniveau er det vigtigt at påbegynde eller intensivere indsatsen for at opbygge denne robusthed. Et godt udgangspunkt er at foretage en GAP-analyse for at identificere eventuelle mangler mellem nuværende processer og de krav, der er stillet i DORA-forordningen. Samtidig vil en modenhedsvurdering give et overblik over, hvor godt forberedt organisationen er på at imødekomme digitale trusler og risici i det hele taget.
