Digital Operational Resilience Act (DORA)

I dagens finansielle landskab er institutioner mere afhængige af digitale platforme, cloud-tjenester og tredjepartsleverandører end nogensinde før. Denne voksende afhængighed medfører dog også risici som cybertrusler, forsyningskæderelaterede risici og sårbarheder samt markedsdestabilisering.

Et enkelt cyberangreb eller systemnedbrud kan have en kædereaktion på tværs af det finansielle økosystem. For at imødegå disse risici introducerede EU Digital Operational Resilience Act (DORA) som en del af Digital Finance Package (DFP) for at styrke cybersikkerheden og sikre, at finansielle institutioner forbliver robuste over for digitale forstyrrelser.

Digital Operational Resilience Act (DORA) er en transformerende EU-forordning (Forordning (EU) 2022/2554), der har til formål at standardisere cybersikkerhed, IKT-risikostyring og operationel modstandsdygtighed på tværs af den europæiske finanssektor.

DORA træder i kraft i januar 2025 og gælder for alle finansielle institutioner i EU og deres kritiske IT-tjenesteudbydere. Den fastsætter klare og håndhævelige krav for at sikre, at enheder kan modstå, reagere på og komme sig efter forstyrrelser – og dermed styrke finansiel stabilitet og forbrugertillid.

DORA er ikke kun et fornuftigt skridt inden for risikostyring, men også en juridisk nødvendighed. Manglende overholdelse kan resultere i betydelige sanktioner og påbud. Overholdelse af DORA sikrer:

• Stærkere IKT-risikostyring: Sætter standardiserede rammer for cybersikkerhed, hændelsesrapportering, tredjeparts risikostyring og forretningskontinuitet i hele EU.

• Finansiel og markedsmæssig stabilitet: Reducerer risikoen for systemiske IT-fejl og cyberchok.
• Tredjeparts robusthed: Sikrer, at kritiske IKT-leverandører opfylder de samme sikkerhedsstandarder.
• Forbruger- og investortillid: Beskytter mod serviceafbrydelser, databrud og finansielle forstyrrelser.

DORA sigter mod at sikre stabiliteten og kontinuiteten i den europæiske finanssektor ved at indføre en harmoniseret og håndhævelig ramme. Den fokuserer på fem kerneområder for at styrke modstandsdygtigheden:

• IKT-risikostyring: Etablerer robuste rammer, styringsstrukturer og kontinuerlig overvågning for effektivt at identificere, vurdere og afbøde IKT-relaterede risici.
• Hændelsesrapportering: Påbyder hurtig detektion, klassificering og intern & ekstern rapportering af større IKT-relaterede hændelser inden for strenge tidsrammer.
• Test af digital operationel modstandsdygtighed: Kræver regelmæssig testning for at validere modstandsdygtigheden af IKT-risikostyringsrammen, herunder penetrationstest, stresstest og trusselsbaseret penetrationstest (TLPT).
• Tredjeparts risikostyring: Indfører streng overvågning af IKT-tjenesteudbydere, der sikrer, at finansielle institutioner udfører grundige risikovurderinger og due diligence.
• Informationsdeling: Tilskynder til samarbejde mellem finansielle enheder, tilsynsmyndigheder og cybersikkerhedseksperter for at styrke trusselsintelligensen blandt EU's finansielle fællesskab.

Med DORA-overholdelse, der bliver obligatorisk i januar 2025, skal finansielle institutioner handle nu for at styrke digital modstandsdygtighed og overholdelse af regler. En struktureret tilgang sikrer overholdelse samtidig med, at cybersikkerheden styrkes, risici minimeres, og forretningskontinuitet sikres.

Vigtige trin for at opnå DORA-overholdelse:

• Vurder digital modstandsdygtighed: Udfør en grundig vurdering af den nuværende cybersikkerhedstilstand for at evaluere IKT-risikostyring, hændelsesrespons og tredjepartsovervågning i forhold til DORA's krav.
• Udvikl en overholdelsesplan: Opret en trinvis implementeringsplan med klar styring, sikkerhedskontroller og rapporteringsmekanismer.
• Træn & skab bevidsthed: Uddan medarbejdere om cybersikkerhedsrisici & bedste praksis, overholdelsesansvar og hændelsesresponsprotokoller.
• Valider & forbedr løbende: Regelmæssige vurderinger, revisioner og modstandsdygtighedstest sikrer løbende overholdelse og tilpasning til nye trusler.

Med årtiers erfaring inden for certificering, cybersikkerhed og risikostyring tilbyder vi omfattende DORA-overholdelsesløsninger, der hjælper finansielle institutioner og IKT-tjenesteudbydere med at opnå lovgivningsmæssig overholdelse, styrke cybersikkerheden og forbedre operationel modstandsdygtighed.

Vores end-to-end DORA-overholdelsesløsninger:

1. DORA-parathedsvurdering & overholdelsesplan

• Udfør overholdelsesrevisioner og gap-analyser for at vurdere IKT-risikostyring, hændelsesrespons og forretningskontinuitetsparathed.
• Udvikl en klar plan for at lukke overholdelsesgab og tilpasse sig DORA-reguleringen.

2. Cybersikkerhedsramme & risikostyring

• Etabler en DORA-kompatibel sikkerhedsstrategi, der er tilpasset ISO 27001 eller andre internationalt anerkendte cybersikkerhedsstandarder.
• Implementer avanceret trusselsdetektion, kontinuerlige overvågningsløsninger og Security Information and Event Management (SIEM)-systemer for at identificere og reagere på cybertrusler i realtid.
• Udfør regelmæssige sårbarhedsvurderinger og penetrationstest for proaktivt at opdage og afhjælpe sikkerhedsrisici.

3. Hændelsesdetektion, rapportering & respons

• Design og implementer rammer for hændelsesdetektion og rapportering, der er i overensstemmelse med DORA's specifikke tidslinjer og lovgivningsmæssige forpligtelser.
• Udvikl strukturerede hændelsesresponsplaner med klare kommunikationsprotokoller og eskaleringsprocedurer.
• Opsæt automatiseringssystemer til hændelsesrespons for at strømline detektion, analyse og rapportering.

4. Forretningskontinuitet & modstandsdygtighedstest

• Udvikl og test strategier for forretningskontinuitet, der sikrer minimal forstyrrelse under kriser.
• Udfør stresstest, tabletop-øvelser og cyberangrebssimuleringer for at evaluere og forbedre modstandsdygtigheden.

5. Tredjeparts risikostyring & leverandørtilsyn

• Udfør risikovurderinger af tredjeparter og forsyningskædeaudits for at sikre leverandørens overholdelse af DORA's standarder for operationel modstandsdygtighed.
• Etabler kontinuerlige overvågningsrammer for effektivt at håndtere risici fra tredjeparter.

6. Medarbejderuddannelse & oplysningsprogrammer

• Tilbyd skræddersyet cybersikkerhedsuddannelse og workshops til opbygning af modstandsdygtighed for medarbejdere på alle niveauer.
• Tilbyd lederuddannelse for at tilpasse overholdelse med forretningsstrategi.