Etterlevelse av EU DORA: En omfattende veiledning
Digital Operational Resilience Act (DORA) er en EU-forordning som har som mål å styrke finansinstitusjonenes digitale robusthet. Denne veiledningen beskriver DORAs krav til risikostyring, hendelsesrapportering og robusthetstesting.
Hva inneholder denne håndboken?
Hva er DORA?
Digital Operational Resilience Act (DORA) er en forordning vedtatt av EU for å styrke finansinstitusjonenes digitale operasjonelle robusthet. Formålet er å sikre at finansinstitusjonene kan motstå og gjenopprette seg etter alle typer IKT-relaterte forstyrrelser og trusler. DORA innfører strenge krav til risikostyring, hendelsesrapportering og robusthetstesting, og etablerer et rammeverk for tilsyn og håndheving av kompetente myndigheter.
Ved å harmonisere disse standardene i hele EU søker DORA å styrke stabiliteten og sikkerheten i finanssektoren, beskytte forbrukerne og opprettholde markedsintegriteten i et stadig mer digitalisert landskap. DORA skal etter planen tre i kraft 17. januar 2025.
Hovedmålsettingene til DORA
-
Økt IT-sikkerhet og driftssikkerhet
DORA har som mål å sikre at finansinstitusjonene kan motstå, reagere på og komme seg etter alle typer IKT-relaterte forstyrrelser og trusler.
-
Harmonisering av regelverk
Ved å skape et enhetlig rammeverk søker DORA å redusere fragmenteringen av regelverket og skape like konkurransevilkår i hele EU.
-
Beskyttelse av forbrukere og finansiell stabilitet
Ved å sikre at finansinstitusjonene er robuste, bidrar vi til å beskytte forbrukerne og opprettholde stabiliteten og integriteten i det finansielle systemet.
Hvem er DORA relevant for?
DORA gjelder for et bredt spekter av finansielle enheter i EU, og omfatter både tradisjonelle finansinstitusjoner og ulike andre aktører i det finansielle økosystemet.
-
- Banker og kredittinstitusjoner: Som hovedaktører i det finansielle systemet må bankene overholde DORA for å sikre at virksomheten deres forblir robust mot forstyrrelser.
- Forsikringsselskaper: Disse enhetene må sikre sine operasjonelle prosesser for å beskytte forsikringstakerne og opprettholde tilliten.
- Verdipapirforetak: Verdipapirforetak må sikre driften for å sikre kontinuerlig levering av tjenester og beskytte investorenes interesser.
- Leverandører av betalingstjenester: Disse enhetene må sørge for at systemene deres er robuste for å unngå avbrudd i betalingstjenestene.
-
DORA utvider også kravene til å omfatte kritiske tredjepartsleverandører, for eksempel skytjenesteleverandører, dataanalyseselskaper og andre IKT-leverandører som tilbyr viktige tjenester til finansinstitusjoner. Disse leverandørene spiller en avgjørende rolle for finansinstitusjonenes operative robusthet og må følge de samme standardene for å sikre robustheten i finanssystemet.
-
- Regulatorer og tilsynsmyndigheter: De må føre tilsyn med implementeringen og etterlevelsen av DORA.
- Finansmarkedsinfrastrukturer: Disse enhetene, som omfatter verdipapirsentraler og handelsplattformer, må sørge for at systemene deres er sikre og motstandsdyktige.
- Leverandører av utkontrakteringstjenester: Alle tredjeparts tjenesteleverandører som håndterer kritiske eller viktige funksjoner for finansforetak, må overholde kravene i DORA.
Forberedelse til DORA-samsvar
For å oppnå samsvar med DORA må finansforetak og relevante interessenter gjennomføre flere viktige steg. Forberedelsene innebærer å forstå kravene, implementere nødvendige endringer og kontinuerlig overvåke og forbedre de operasjonelle tiltakene for å sikre resiliens.
-
Det første skrittet mot etterlevelse er å sette seg grundig inn i kravene som stilles av DORA. Dette innebærer å gjøre seg kjent med de spesifikke artiklene og retningslinjene i forskriften. Viktige fokusområder er blant annet
- Rammeverk for risikostyring: Utvikling av et omfattende rammeverk for risikostyring som tar for seg IKT-risikoer.
- Rapportering av hendelser: Etablering av prosesser for rapportering av IKT-relaterte hendelser til relevante myndigheter.
- Testing av digital driftsrobusthet: Regelmessig testing av robustheten til systemer og prosesser.
- Deling av informasjon: Delta i ordninger for informasjonsdeling for å styrke den kollektive sikkerheten.
- Risikohåndtering hos tredjeparter: Sørge for at tredjepartsleverandører overholder DORA-kravene.
-
Når kravene er forstått, må finansforetakene gjennomføre de nødvendige endringene for å overholde DORA. Dette innebærer
- Utvikle robuste retningslinjer og prosedyrer: Utarbeide og oppdatere retningslinjer og prosedyrer for å oppfylle DORA-kravene.
- Forbedre IKT-infrastrukturen: Investere i teknologi og infrastruktur for å forbedre robustheten og sikkerheten.
- Opplærings- og bevisstgjøringsprogrammer: Opplæring av de ansatte i viktigheten av robusthet i driften og deres rolle i arbeidet med å overholde kravene.
- Gjennomføre risikovurderinger: Regelmessig vurdering og reduksjon av IKT-risikoer gjennom omfattende risikovurderinger.
-
Å oppnå samsvar med DORA er ikke en engangsforeteelse, men krever kontinuerlig overvåking og forbedring. Finansielle enheter bør:
- Gjennomføre regelmessige revisjoner og evalueringer: Gjennomgå og vurder regelmessig samsvar med DORA-kravene.
- Implementere prosesser for kontinuerlig forbedring: Bruk funnene fra revisjoner og vurderinger til å kontinuerlig forbedre de operasjonelle tiltakene.
- Hold deg oppdatert om endringer i regelverket: Hold deg oppdatert på eventuelle oppdateringer eller endringer i DORA, og juster samsvarsarbeidet deretter.
Detaljerte trinn for å overholde DORA
Organisasjoner kan ta disse syv stegene for å forberede seg på å overholde DORA.
- Utnevne en DORA Compliance Officer: Utpeke en toppleder med ansvar for å føre tilsyn med at DORA overholdes.
- Opprettelse av en compliance-komité: Opprett en komité bestående av medlemmer fra ulike avdelinger for å sikre et helhetlig compliance-arbeid.
- Utvikle en strategi for etterlevelse: Utarbeid en klar strategi for å oppnå og opprettholde samsvar med DORA.
- Kartlegge nåværende praksis i forhold til DORA-kravene: Sammenlign eksisterende retningslinjer, prosedyrer og kontroller med DORAs retningslinjer.
- Identifisere mangler og svakheter: Identifiser områder som må forbedres for å oppfylle kravene.
- Utvikle en plan for utbedring: Utarbeid en detaljert plan for å utbedre identifiserte mangler og forbedre den operasjonelle robustheten.
- Utvikle en policy for risikostyring: Utarbeid en policy som beskriver tilnærmingen til håndtering av IKT-risiko.
- Gjennomføre regelmessige risikovurderinger: Utfør grundige risikovurderinger for å identifisere og redusere potensielle trusler.
- Implementere risikoreduserende tiltak: Utvikle og iverksette kontroller for å håndtere identifiserte risikoer og øke robustheten.
- Etablere protokoller for rapportering av hendelser: Utarbeid klare prosedyrer for rapportering av IKT-relaterte hendelser til relevante myndigheter.
- Utvikle en plan for respons på hendelser: Skissere trinnene for å reagere på og gjenopprette etter IKT-hendelser.
- Opplæring av ansatte i hendelsesrespons: Gi de ansatte opplæring i deres roller og ansvar i forbindelse med hendelsesrespons.
- Utvikle en teststrategi: Lag en omfattende strategi for testing av systemenes og prosessenes robusthet.
- Gjennomføre regelmessige tester: Utfør regelmessige tester av robusthet, inkludert penetrasjonstesting og scenariobasert testing.
- Analysere testresultater: Gjennomgå og analyser testresultatene for å identifisere svakheter og forbedringsområder.
- Vurdere tredjepartsrisiko: Evaluer risikoen forbundet med tredjepartsleverandører og deres innvirkning på den operasjonelle robustheten.
- Utvikle retningslinjer for håndtering av tredjepartsrisiko: Utarbeide retningslinjer og prosedyrer for håndtering av tredjepartsrisikoer.
- Overvåke tredjeparters etterlevelse: Vurder og overvåk regelmessig tredjepartsleverandører for å sikre at de overholder kravene i DORA.
- Delta i initiativer for informasjonsdeling: Delta i bransjeomfattende informasjonsdelingsinitiativer for å holde deg informert om nye trusler.
- Samarbeide med andre enheter: Samarbeid med andre finansielle enheter for å dele beste praksis og styrke den kollektive motstandskraften.
- Rapportering til tilsynsmyndigheter: Sørg for at hendelser og etterlevelsestiltak rapporteres til tilsynsmyndighetene i tide.
Trinn 1: Etablere et rammeverk for styring
Et robust rammeverk for styring er avgjørende for å overvåke arbeidet med å etterleve DORA. Dette inkluderer:
Trinn 2: Gjennomfør en gap-analyse
Ved å gjennomføre en gap-analyse kan man identifisere områder der dagens praksis ikke oppfyller kravene i DORA. Dette innebærer
Trinn 3: Forbedre praksisen for risikostyring
Forbedring av risikostyringspraksis er avgjørende for å overholde DORA. Dette inkluderer
Trinn 4: Styrke rapportering av hendelser og respons
Effektive mekanismer for rapportering av hendelser og respons er avgjørende for å overholde DORA. Dette innebærer
Trinn 5: Gjennomfør testing av digital resiliens
Regelmessig testing av digital driftsstabilitet er et sentralt krav i DORA. Dette inkluderer:
Trinn 6: Forbedre risikostyringen hos tredjeparter
Det er avgjørende å sikre at tredjepartsleverandører overholder kravene i DORA. Dette innebærer
Trinn 7: Fremme informasjonsdeling og samarbeid
Samarbeid og informasjonsdeling er avgjørende for å styrke den kollektive sikkerheten. Dette inkluderer:
Alt handler om tillit
Signicat tar de nødvendige skritt for å oppfylle gjeldende DORA-kravene og for å sikre en smidig overgang for kundene våre.
Vi leverer forretningskritiske tjenester til Europas største selskaper. Våre drifts-, system-, utviklings- og støtteprosesser er allerede i samsvar med de strengeste standardene for IKT-risikostyring, hendelsesrapportering og tredjepartstilsyn med tjenester - inkludert ISO/IEC 27001, SOC2 og andre standarder.
Signicat leverer de høyeste nivåene av sikkerhet og samsvar.
Sikkerhet og samsvar