Skip to main content

We have a tailored site for international audiences

Etterlevelse av EU DORA: En omfattende veiledning

Digital Operational Resilience Act (DORA) er en EU-forordning som har som mål å styrke finansinstitusjonenes digitale robusthet. Denne veiledningen beskriver DORAs krav til risikostyring, hendelsesrapportering og robusthetstesting.

DORA i kortform

Hva er DORA?

Digital Operational Resilience Act (DORA) er en forordning vedtatt av EU for å styrke finansinstitusjonenes digitale operasjonelle robusthet. Formålet er å sikre at finansinstitusjonene kan motstå og gjenopprette seg etter alle typer IKT-relaterte forstyrrelser og trusler. DORA innfører strenge krav til risikostyring, hendelsesrapportering og robusthetstesting, og etablerer et rammeverk for tilsyn og håndheving av kompetente myndigheter.

Ved å harmonisere disse standardene i hele EU søker DORA å styrke stabiliteten og sikkerheten i finanssektoren, beskytte forbrukerne og opprettholde markedsintegriteten i et stadig mer digitalisert landskap. DORA skal etter planen tre i kraft 17. januar 2025.

Mål

Hovedmålsettingene til DORA

  • Økt IT-sikkerhet og driftssikkerhet

    DORA har som mål å sikre at finansinstitusjonene kan motstå, reagere på og komme seg etter alle typer IKT-relaterte forstyrrelser og trusler.

  • Harmonisering av regelverk

    Ved å skape et enhetlig rammeverk søker DORA å redusere fragmenteringen av regelverket og skape like konkurransevilkår i hele EU.

  • Beskyttelse av forbrukere og finansiell stabilitet

    Ved å sikre at finansinstitusjonene er robuste, bidrar vi til å beskytte forbrukerne og opprettholde stabiliteten og integriteten i det finansielle systemet.

Hvem er DORA relevant for?

DORA gjelder for et bredt spekter av finansielle enheter i EU, og omfatter både tradisjonelle finansinstitusjoner og ulike andre aktører i det finansielle økosystemet.

    • Banker og kredittinstitusjoner: Som hovedaktører i det finansielle systemet må bankene overholde DORA for å sikre at virksomheten deres forblir robust mot forstyrrelser.
    • Forsikringsselskaper: Disse enhetene må sikre sine operasjonelle prosesser for å beskytte forsikringstakerne og opprettholde tilliten.
    • Verdipapirforetak: Verdipapirforetak må sikre driften for å sikre kontinuerlig levering av tjenester og beskytte investorenes interesser.
    • Leverandører av betalingstjenester: Disse enhetene må sørge for at systemene deres er robuste for å unngå avbrudd i betalingstjenestene.
  • DORA utvider også kravene til å omfatte kritiske tredjepartsleverandører, for eksempel skytjenesteleverandører, dataanalyseselskaper og andre IKT-leverandører som tilbyr viktige tjenester til finansinstitusjoner. Disse leverandørene spiller en avgjørende rolle for finansinstitusjonenes operative robusthet og må følge de samme standardene for å sikre robustheten i finanssystemet.

    • Regulatorer og tilsynsmyndigheter: De må føre tilsyn med implementeringen og etterlevelsen av DORA.
    • Finansmarkedsinfrastrukturer: Disse enhetene, som omfatter verdipapirsentraler og handelsplattformer, må sørge for at systemene deres er sikre og motstandsdyktige.
    • Leverandører av utkontrakteringstjenester: Alle tredjeparts tjenesteleverandører som håndterer kritiske eller viktige funksjoner for finansforetak, må overholde kravene i DORA.

Forberedelse til DORA-samsvar

For å oppnå samsvar med DORA må finansforetak og relevante interessenter gjennomføre flere viktige steg. Forberedelsene innebærer å forstå kravene, implementere nødvendige endringer og kontinuerlig overvåke og forbedre de operasjonelle tiltakene for å sikre resiliens.

  • Det første skrittet mot etterlevelse er å sette seg grundig inn i kravene som stilles av DORA. Dette innebærer å gjøre seg kjent med de spesifikke artiklene og retningslinjene i forskriften. Viktige fokusområder er blant annet

    • Rammeverk for risikostyring: Utvikling av et omfattende rammeverk for risikostyring som tar for seg IKT-risikoer.
    • Rapportering av hendelser: Etablering av prosesser for rapportering av IKT-relaterte hendelser til relevante myndigheter.
    • Testing av digital driftsrobusthet: Regelmessig testing av robustheten til systemer og prosesser.
    • Deling av informasjon: Delta i ordninger for informasjonsdeling for å styrke den kollektive sikkerheten.
    • Risikohåndtering hos tredjeparter: Sørge for at tredjepartsleverandører overholder DORA-kravene.
  • Når kravene er forstått, må finansforetakene gjennomføre de nødvendige endringene for å overholde DORA. Dette innebærer

    • Utvikle robuste retningslinjer og prosedyrer: Utarbeide og oppdatere retningslinjer og prosedyrer for å oppfylle DORA-kravene.
    • Forbedre IKT-infrastrukturen: Investere i teknologi og infrastruktur for å forbedre robustheten og sikkerheten.
    • Opplærings- og bevisstgjøringsprogrammer: Opplæring av de ansatte i viktigheten av robusthet i driften og deres rolle i arbeidet med å overholde kravene.
    • Gjennomføre risikovurderinger: Regelmessig vurdering og reduksjon av IKT-risikoer gjennom omfattende risikovurderinger.
  • Å oppnå samsvar med DORA er ikke en engangsforeteelse, men krever kontinuerlig overvåking og forbedring. Finansielle enheter bør:

    • Gjennomføre regelmessige revisjoner og evalueringer: Gjennomgå og vurder regelmessig samsvar med DORA-kravene.
    • Implementere prosesser for kontinuerlig forbedring: Bruk funnene fra revisjoner og vurderinger til å kontinuerlig forbedre de operasjonelle tiltakene.
    • Hold deg oppdatert om endringer i regelverket: Hold deg oppdatert på eventuelle oppdateringer eller endringer i DORA, og juster samsvarsarbeidet deretter.

Detaljerte trinn for å overholde DORA

Organisasjoner kan ta disse syv stegene for å forberede seg på å overholde DORA. 

    Trinn 1: Etablere et rammeverk for styring

    Et robust rammeverk for styring er avgjørende for å overvåke arbeidet med å etterleve DORA. Dette inkluderer:

    • Utnevne en DORA Compliance Officer: Utpeke en toppleder med ansvar for å føre tilsyn med at DORA overholdes.
    • Opprettelse av en compliance-komité: Opprett en komité bestående av medlemmer fra ulike avdelinger for å sikre et helhetlig compliance-arbeid.
    • Utvikle en strategi for etterlevelse: Utarbeid en klar strategi for å oppnå og opprettholde samsvar med DORA.

    Trinn 2: Gjennomfør en gap-analyse

    Ved å gjennomføre en gap-analyse kan man identifisere områder der dagens praksis ikke oppfyller kravene i DORA. Dette innebærer

    • Kartlegge nåværende praksis i forhold til DORA-kravene: Sammenlign eksisterende retningslinjer, prosedyrer og kontroller med DORAs retningslinjer.
    • Identifisere mangler og svakheter: Identifiser områder som må forbedres for å oppfylle kravene.
    • Utvikle en plan for utbedring: Utarbeid en detaljert plan for å utbedre identifiserte mangler og forbedre den operasjonelle robustheten.

    Trinn 3: Forbedre praksisen for risikostyring

    Forbedring av risikostyringspraksis er avgjørende for å overholde DORA. Dette inkluderer

    • Utvikle en policy for risikostyring: Utarbeid en policy som beskriver tilnærmingen til håndtering av IKT-risiko.
    • Gjennomføre regelmessige risikovurderinger: Utfør grundige risikovurderinger for å identifisere og redusere potensielle trusler.
    • Implementere risikoreduserende tiltak: Utvikle og iverksette kontroller for å håndtere identifiserte risikoer og øke robustheten.

    Trinn 4: Styrke rapportering av hendelser og respons

    Effektive mekanismer for rapportering av hendelser og respons er avgjørende for å overholde DORA. Dette innebærer

    • Etablere protokoller for rapportering av hendelser: Utarbeid klare prosedyrer for rapportering av IKT-relaterte hendelser til relevante myndigheter.
    • Utvikle en plan for respons på hendelser: Skissere trinnene for å reagere på og gjenopprette etter IKT-hendelser.
    • Opplæring av ansatte i hendelsesrespons: Gi de ansatte opplæring i deres roller og ansvar i forbindelse med hendelsesrespons.

    Trinn 5: Gjennomfør testing av digital resiliens

    Regelmessig testing av digital driftsstabilitet er et sentralt krav i DORA. Dette inkluderer:

    • Utvikle en teststrategi: Lag en omfattende strategi for testing av systemenes og prosessenes robusthet.
    • Gjennomføre regelmessige tester: Utfør regelmessige tester av robusthet, inkludert penetrasjonstesting og scenariobasert testing.
    • Analysere testresultater: Gjennomgå og analyser testresultatene for å identifisere svakheter og forbedringsområder.

    Trinn 6: Forbedre risikostyringen hos tredjeparter

    Det er avgjørende å sikre at tredjepartsleverandører overholder kravene i DORA. Dette innebærer

    • Vurdere tredjepartsrisiko: Evaluer risikoen forbundet med tredjepartsleverandører og deres innvirkning på den operasjonelle robustheten.
    • Utvikle retningslinjer for håndtering av tredjepartsrisiko: Utarbeide retningslinjer og prosedyrer for håndtering av tredjepartsrisikoer.
    • Overvåke tredjeparters etterlevelse: Vurder og overvåk regelmessig tredjepartsleverandører for å sikre at de overholder kravene i DORA.

    Trinn 7: Fremme informasjonsdeling og samarbeid

    Samarbeid og informasjonsdeling er avgjørende for å styrke den kollektive sikkerheten. Dette inkluderer:

    • Delta i initiativer for informasjonsdeling: Delta i bransjeomfattende informasjonsdelingsinitiativer for å holde deg informert om nye trusler.
    • Samarbeide med andre enheter: Samarbeid med andre finansielle enheter for å dele beste praksis og styrke den kollektive motstandskraften.
    • Rapportering til tilsynsmyndigheter: Sørg for at hendelser og etterlevelsestiltak rapporteres til tilsynsmyndighetene i tide.
Sikkerhet og samsvar

Alt handler om tillit

Signicat tar de nødvendige skritt for å oppfylle gjeldende DORA-kravene og for å sikre en smidig overgang for kundene våre.

Vi leverer forretningskritiske tjenester til Europas største selskaper. Våre drifts-, system-, utviklings- og støtteprosesser er allerede i samsvar med de strengeste standardene for IKT-risikostyring, hendelsesrapportering og tredjepartstilsyn med tjenester - inkludert ISO/IEC 27001, SOC2 og andre standarder. 

  • ISO 27001 Ikon transp 334x321 2
  • Socforserviceorganizationslogocpas
  • Gdpr cropped
  • Qtsp

Signicat leverer de høyeste nivåene av sikkerhet og samsvar.

Sikkerhet og samsvar