DORA - Et digitalt værn for den finansielle sektor

Denne artikel er sponsoreret af RISMA Systems

DORA, som står for Digital Operational Resilience Act, er en EU-forordning, der træder i kraft den 17. januar 2025. Formålet med DORA er at styrke den digitale operationelle modstandsdygtighed i den finansielle sektor og blandt udbydere af informations- og kommunikationsteknologi.

Forordningen etablerer en ensartet tilgang til IT-sikkerhed for at sikre finansiel stabilitet og beskytte forbrugerne. DORA forordning fokuserer på at gøre finansielle virksomheder og IKT-tjenesteudbydere mere robuste over for cyber- og informationssikkerhedshændelser, så de kan forebygge og reagere på risici uden at det påvirker kunderne eller samfundet negativt. ​

Hvem skal leve op til de nye cybersikkerhedskrav?

DORA-forordningen har en bred anvendelse og omfatter ikke kun traditionelle finansielle institutioner som banker, kreditinstitutter, betalingsudbydere, forsikrings- og genforsikringsselskaber samt investeringsselskaber, men også væsentlige tredjepartsudbydere af IKT-tjenester. Dette inkluderer cloud computing-tjenester, datacentertjenester og andre digitale løsninger, der understøtter finansielle operationer.

Formålet er at sikre, at både finansielle institutioner og deres nøgleleverandører af teknologi opretholder høje standarder for cybersikkerhed og operationel robusthed.

Centrale krav og fokusområder i DORA

DORA-forordningen opstiller en række centrale krav, der skal sikre, at finansielle virksomheder og deres teknologipartnere opnår en høj grad af digital robusthed.

Et af de vigtigste områder er governance og risikostyring, hvor organisationer forpligtes til at udarbejde og vedligeholde klare politikker og retningslinjer, der understøtter en stabil og sikker IT-drift. Et andet væsentligt krav handler om håndtering og rapportering af IKT-hændelser. Organisationerne skal have procedurer på plads til at logge alle relevante hændelser og kunne indsende rapporter til myndighederne.

For at sikre, at systemerne reelt fungerer som tiltænkt, stiller DORA også krav om løbende testning og beredskab. DORA lægger også stor vægt på styring af risici fra tredjepartsleverandører. Det betyder, at virksomheder skal overvåge og dokumentere brugen af eksterne IKT-udbydere samt sikre at kontrakterne er tilstrækkeligt dækkende.

Samspil med NIS2 og betydning for organisationer

DORA-forordningen har mange ligheder med NIS2-direktivet, og begge initiativer repræsenterer et ønske om et højt sikkerhedsniveau mod cybertrusler. Mens NIS2 favner et bredt spektrum af brancher og sektorer, er DORA specifikt målrettet den finansielle sektor. Et vigtigt aspekt af DORA er dens opfordring til en tæt kobling med NIS2 for at sikre en sammenhængende cybersikkerhedsstrategi på tværs af alle sektorer.

For at imødekomme DORA-forordningens krav anbefales det, at organisationer foretager en GAP-analyse for at identificere eventuelle mangler mellem nuværende processer og de krav, der er stillet i forordningen. En modenhedsvurdering kan også give et overblik over, hvor godt forberedt organisationen er på at imødekomme digitale trusler og risici.

Denne artikel er sponsoreret af RISMA Systems