Det kan vara svårt att förstå DORA-regelverket. Här förklarar Johan Gnosspelius, Senior Partner på Pro4u, på ett lättfattligt sätt vad som behöver göras om man omfattas av DORA-regelverket.
Kontakta mig om du vill prata mer om DORA
Pernilla Uhrström
Kundansvarig på Pro4u
E-post: pernilla.uhrstrom@pro4u.com
Mobiltelefon: 072 567 63 00
Inledning
Banker, försäkringsbolag, pensionsinstitut och andra finansiella företag och deras underleverantörer måste efter 17 januari 2025 följa ett EU-regelverk för digital motståndskraft.
Med tanke på den senaste tidens många angrepp från ryska hackergrupper är detta område högst aktuellt.
Vad behöver man göra om man omfattas av DORA?
En första bedömning är att avgöra vilken typ av finansiell entitet man betraktas som. Detta styr vilken omfattning av aktiviteter som krävs. En liten finansiell entitet behöver inte uppfylla så mycket. Ett andra steg kan vara att gå igenom områdena nedan för att identifiera vad som redan finns på plats och vilka förändringar som behövs.
Riskhantering
Finansiella entiteter måste etablera och underhålla effektiva och proportionerliga riskhanteringsstrategier, policyer, procedurer och system. Detta inkluderar att identifiera, dokumentera och hantera informationssäkerhetsrisker. Regelverket beskriver principer och man kan stödja sig på relevanta modeller och praxis för IKT-risker.
Styrning
Finansiella entiteter måste ha en lämplig governance-struktur för att säkerställa att IKT-risker hanteras effektivt. Detta kan inkludera att inrätta särskilda kommittéer eller funktioner som fokuserar på digital motståndskraft.
Incidenthantering
Det är viktigt att ha planer och processer på plats för att snabbt kunna identifiera, rapportera och hantera IKT-incidenter.
Testning av motståndskraft
Man behöver planera och genomföra regelbunden testning av IT-systemen för att säkerställa att de kan motstå olika typer av cyberattacker och andra störningar. Detta kan inkludera penetrationstester, stresstester och scenariobaserade övningar. Hur avancerad testning som krävs beror på typ av finansiell entitet. Riskbaserad testning skall göras årligen medan mer avancerad hotbildstestning skall göras vart tredje år.
Riskhantering av tredje part
Finansiella entiteter måste övervaka och hantera risker kopplade till tredjepartsleverantörer, särskilt de som tillhandahåller kritiska IT-tjänster. Avtal med underleverantörer måste formuleras för att möte kraven i regelverket och innehålla bestämmelser om t.ex. skydd av funktioner, tjänster och information övervakning, säkerställande av att återta information om leverantören upphör och samarbete.
Datahantering och säkerhet
Strikta åtgärder för dataskydd och säkerhet för att skydda känslig information, inklusive personuppgifter.
Rapportering
Att säkerställa överensstämmelse med DORA-kraven kräver regelbunden rapportering och kommunikation med tillsynsmyndigheter.
Utbildning och medvetenhet
Att investera i utbildning och medvetenhet om cyberhot och digital motståndskraft bland personalen är också viktigt.
Utbyte av information
Regelverket ger också möjlighet till utbyte av information om hot, erfarenheter, mm. Detta informationsutbyte mellan finansiella entiteter är frivilligt men uppmuntras så att man gemensamt skall kunna upprätthålla god motståndskraft..
Viktiga datum
- 17 januari 2024: Utkast till tekniska standarder presenteras.
- 17 juli 2024: Riktlinjer för kostnadsberäkning relaterat till IKT-incidenter.
- 17 januari 2025: DORA träder i kraft.
Slutsats/sammanfattning
DORA är rätt omfattande och kan kräva mycket arbete. Om detta inte är igång ännu behöver det börja snarast. Det positiva är att processer och rutiner för många delar av regelverket redan kan finnas på plats. De kan behöva justeras och dokumenteras för att fullt uppfylla kraven.
Behöver du hjälp med att införa DORA?
Se till att ditt företag hamnar i ett bättre läge och minimera dina digitala risker. En robust miljö och effektiv riskhantering ger företaget konkurrensfördelar på en tuff marknad. Kontakta oss gärna om du vill veta mer.