15 mars, 2023
En introduktion till DORA (Digital Operational Resilience Act)
Är din organisation verksam inom finanssektorn är sannolikheten stor att den omfattas av den nya EU-förordningen DORA, som syftar till att stärka den digitala motståndskraften inom branschen. Här är en sammanfattning över vad vi vet om förordningen hittills.
Vad är DORA?
DORA (Digital Operational Resilience Act) är en ny EU-förordning som trädde i kraft i januari i år. Syftet med DORA är att harmonisera befintliga regelverk för hantering och styrning av ICT-risker (Information and Communication Technology), incidentrapportering och säkerställa operativ motståndskraft mot cyberattacker. Utöver det har förordningen även som mål att stärka stabiliteten och minska de risker som uppkommer i samband med den ökade digitaliseringen inom den finansiella sektorn.
Med några undantag omfattar DORA alla aktörer inom finanssektorn, men även flera av de tredjepartsleverantörer dessa företag använder, inklusive molntjänster, programvara, dataanalys och datacenter. Aktörer som berörs av förordningen har knappt 24 månader på sig att uppvisa efterlevnad, då deadline är januari 2025. Påföljderna för de företag som inte efterlever förordningen är ännu inte fastställda, men kommer sannolikt leda till sanktionsavgifter.
Striktare krav på hantering, rapportering och uppföljning
Införandet av DORA kommer innebära att en hel del nya krav ställs på finanssektorn. Utöver att ledningsorganet kommer behöva ta en mer aktiv och avgörande roll i hanteringen av säkerhetsrisker behöver även följande organisatoriska områden säkerställas med hänsyn till säkerheten:
Fyra huvudområden
Målet med DORA är att harmonisera och standardisera cybersäkerhetsaktiviteter inom finanssektorn, och för att uppnå detta fokuserar det på fyra huvudområden, eller ”Core Pillars”; ICT Risk Management, ICT Incident Reporting, Digital Operational Resilience Testing och ICT Third-Party Management.
ICT Risk Management
Ett av de områden DORA ställer krav på är ICT Risk Management, som innebär att finansiella aktörer måste ha ett omfattande och väldokumenterat ramverk för ICT-riskhantering på plats. Detta ska även kunna granskas regelbundet, och revideras utifrån nya hot och risker.
Ramverket ska bland annat innehålla:
• Strategier, policys och rutiner som är nödvändiga för tillräckligt skydd av informations- och ICT-tillgångar.
• Identifiering, klassificering och dokumentation av funktioner, roller och ansvarsområden som supporeras av ICT-tillgångar och dess relation till ICT-risker.
• Riskbedömning vid varje materiell förändring av saker som nätverk och infrastruktur samt ICT-stödda processer.
• Mekanismer för att upptäcka anomalier, exempelvis gällande nätverksprestanda och ICT-relaterade incidenter.
• Resurser för att inhämta information om sårbarheter, cyberhot och incidenter, samt förmåga att analysera sannolik påverkan på den digitala motståndskraften.
ICT Incident Reporting
DORA ställer högre krav på att finansiella aktörer ska definiera, etablera och implementera incidenthanteringsprocesser för att snabbare kunna upptäcka, hantera och rapportera ICT-relaterade incidenter. Faller incidenter dessutom inom kategorin "större" behöver dessa rapporteras in till behöriga myndigheter med ännu kortare varsel. Dessa krav innebär att aktörer som omfattas av DORA behöver granska och uppdatera sina befintliga processer för incidentrapportering, både interna och sina leverantörers.
Området ICT Incident Reporting innefattar bland att organisationer behöver:
• Övervaka och rapportera ICT-relaterade incidenter.
• Etablera och implementera en ledningsprocess för att övervaka och logga ICT-relaterade incidenter.
• Klassificera ICT-relaterade incidenter enligt de föreskrivna kriterier som ska utvecklas av en gemensam kommitté för de europeiska tillsynsmyndigheterna.
• Rapportera större ICT-relaterade incidenter till den nationella tillsynsmyndigheten.
Digital Operational Resilience Testing
För att säkerställa digital operativ motståndskraft ställer DORA krav på att berörda organisationer på ett systematiskt, riskbaserat och regelbundet sätt tillämpar olika typer av säkerhetstester. Aktörer som av nationell tillsynsmyndighet bedöms som signifikanta behöver dessutom utföra utökad testning enligt modellen ”Threat Led Penetration Testing” där externa, certifierade parter behöver involveras med viss regelbundenhet.
Kraven inom området innefattar bland annat:
• Regelbundet utförande av förbättrade operativa motståndstester, inklusive test av förmågor och funktioner som ingår i ramverket för ICT-riskhantering.
• Kartläggning av lämpliga tester, inklusive penetrationstester, sårbarhetsskanningar, gapanalyser och fysiska säkerhetsgranskningar.
• Att i förekommande fall använda en extern, certifierad aktör för ”Threat Led Penetration Testing”, som kan uppvisa specifik teknisk expertis inom Threat Intelligence, penetrationstestning eller Red Team Testning.
ICT Third-Party Risk Management
DORA ställer nya högre krav på finansiella aktörers avtal med sina leverantörer. Dessa krav innefattar bland annat översyn och kontroll av ICT-tredjepartsrisker. Utöver det måste finansiella institutioner ha strategier för att hantera de risker som dessa leverantörer potentiellt introducerar, inklusive möjligheter att kunna byta leverantör när behov uppstår.
Kraven innebär bland annat att berörda aktörer behöver:
• Upprätthålla ett register med information över avtal med tredjepartsleverantörer som tillhandahåller ICT-tjänster.
• Utvärdera de tredjepartsleverantörer som kommer att leverera ICT-tjänster till kritiska eller viktiga funktioner, bland annat med avseende på risker.
• Föreskriva vissa innehållskrav för kontrakt mellan finansiella enheter och tredjepartsleverantörer av ICT-tjänster.
Governance model
Utöver ovan nämnda områden ställer DORA även krav på att berörda organisationer har en etablerad Governance model, som är själva strukturen för att driva ett kontinuerligt och effektivt säkerhetsarbete. Att arbeta utifrån en Governance model innebär att organisationen hela tiden utvärderar, justerar och beslutar kring åtgärder som rör säkerheten. På så sätt fungerar den som ett nav för hela säkerhetsarbetet och en viktig del i att kunna uppnå en hög operativ motståndskraft mot cyberhot, vilket är själva syftet med DORA.
Vill du veta mer om hur din organisation påverkas av DORA och få stöttning i arbetet med att efterleva förordningen?
På Sentor har vi lång erfarenhet av att stötta organisationer i arbetet med att efterleva olika regelverk och förordningar inom informationssäkerhet. Hör av dig, så berättar vi mer!
Kontakta oss
Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.
08-545 333 00
Vi svarar dygnet runtinfo@sentor.se
För generella förfrågningarsoc@sentorsecurity.com
Använd vår PGP-nyckel