Bank og finans

Vi ønsker å være en sterk partner for banker og finansinstitusjoner, som hjelper dem med å møte de stadig skiftende teknologiske og operative behovene, sørger for at de møter sine regulatoriske krav, og tar vare på sikkerheten til deres data og transaksjoner. 

 

Les om Dora og NIS2 her

Cybersikkerhet og alle typer av skyløsninger

I Orange Business har vi lang erfaring med å hjelpe kunder innenfor bank- og finansnæringen, ikke bare i Norge, men også globalt. Sammen med vårt søsterselskap Orange Cyberdefense dekker vi de digitale behovene som moderne finansinstitusjoner trenger.
 

  • Vi er en av få selskaper som er sertifisert for Payment Card Industry Data Security Standard (PCI DSS) som sikrer store volum av korttransaksjoner
  • Vi er stolte av å drifte kjente betalingsløsninger
  • Vi har flere enn 25 norske banker som kunder

Våre konsulenter har spisskompetanse innenfor:

  • Compliance og cybersikkerhet

  • Pålitelig infrastruktur og drift

  • Data & AI

  • Skytjenester og digital innovasjon

Hvordan håndtere flere sikkerhetsrammeverk samtidig

Enten det er NIS2, DORA, TIBER, CER, PCI DSS, GDPR, eller et annet sikkerhetsrammeverk, er det første skrittet for å oppnå compliance å stille seg de riktige spørsmålene:

  • Hvordan vurderer jeg overholdelsen av rammeverkene fra virksomheten min?
  • Hvordan adresserer og brobygger jeg de identifiserte sikkerhetshullene for virksomheten min?
  • Hvordan utvikler jeg en "resilience roadmap"?

 

Se hvordan vi kan hjelpe din bedrift her

Hva tenker vår CISO om de nye sikkerhetskravene?

Monica Verma er sikkerhetssjef (CISO | Head of Security & Privacy) for Orange Business sin tjenesteorganisasjon på tvers av Europa. Hun har jobbet med sikkerhet i over 20 år, og særlig i sektorene der kravene er mest skjerpet og der det er flest reguleringer; bank og finans, og i helsesektoren. Hun er derfor godt kjent med hva som må gjøres når nye direktiv innføres. 

 

Les Monicas syn på NIS2 og Dora her

Trygghet som en tjeneste for bank og finansbransjen

Orange Business tilbyr en rådgivnings- og forvaltningstjeneste som heter Business Security Officer (BSO). Dette er kort forklart en fagekspert som har kontroll på trusselbildet, sikrer at infrastrukturen og systemene er oppgradert og patchet, og ivaretar at kunden er i samsvar med gjeldende regler og retningslinjer.  

 

Les om BSO-rollen her

Vanlige spørsmål

  • DORA tar sikte på å styrke den digitale operasjonelle motstandsdyktigheten i finanssektoren for å håndtere cybertrusler og sikre kontinuitet i kritiske prosesser. Dette inkluderer etablering av strenge krav til håndtering av IKT-risiko, rapportering av IKT-relaterte hendelser, testing av digital operasjonell motstandsdyktighet, styring av risiko knyttet til tredjeparts IKT-tjenesteleverandører, og informasjons- og etterretningssamarbeid

    • Finansinstitusjoner og relevante tredjepartstjenesteleverandører må innføre omfattende politikker og prosedyrer for digital operasjonell motstandsdyktighet, inkludert effektive risikostyringsrammeverk og hendelseshåndteringsprosesser.
    • Institusjoner skal gjennomføre regelmessige tester av sin digitale motstandsdyktighet, inkludert trusselbaserte penetrasjonstester.
    • Det kreves et strukturert samarbeid og informasjonsdeling om cybertrusler mellom finansinstitusjoner.
    • DORA introduserer også en tilsyns- og håndhevingsramme som gir kompetente myndigheter nødvendige tilsyns-, etterforsknings- og sanksjonsbeføyelser for å sikre overholdelse av DORAs krav
  • DORA gjelder spesielt for forsikrings- og gjenforsikringsselskaper, forsikringsformidlere, investeringsinstitusjoner, forvaltningsselskaper, banker, tilbydere av kryptoaktiva-tjenester, institusjoner for bedriftspensjonsfond, og tredjepartsleverandører av IKT-tjenester. Lovgivningen sikter mot å redusere de samfunnsmessige og økonomiske risikoene forbundet med økende cybertrusler i finanssektoren

    • IKT-risikostyring: Finansinstitusjoner må etablere et omfattende rammeverk for å identifisere, klassifisere, overvåke og redusere IKT-risiko.
    • Rapportering av IKT-relaterte hendelser: Institusjonene skal etablere prosesser for å oppdage, håndtere, og rapportere IKT-relaterte hendelser til relevante myndigheter.
    • Testing av digital operasjonell motstandsdyktighet: Finansinstitusjoner er pålagt å gjennomføre regelmessige tester av sin digitale motstandsdyktighet, inkludert trusselbaserte penetrasjonstester.
    • Styring av tredjeparts IKT-risiko: Det stilles krav til hvordan finansinstitusjoner skal håndtere risikoen forbundet med deres avhengighet av tredjeparts IT-tjenesteleverandører, inkludert kontraktsmessige forpliktelser og exit-strategier.
    • Informasjons- og etterretningssamarbeid: Institusjonene oppfordres til å dele informasjon om cybertrusler og beste praksis for å forbedre den kollektive motstandsdyktigheten i finanssektoren.
  • DORA er ventet å tre i kraft 17. januar 2025, noe som gir finansinstitusjoner og deres IT-tjenesteleverandører tid til å forberede seg og sikre at de oppfyller de nye kravene.

  • NIS2 er en oppdatering av det originale NIS-direktivet som tar sikte på å øke cybersikkerheten på tvers av EU. Det introduserer strengere krav til risikostyring, sikkerhetsforanstaltninger, og rapportering av cybersikkerhetshendelser for et bredt spekter av sektorer og aktører.

  • NIS2 utvider omfanget betydelig fra det originale direktivet. Det skjelner mellom "essensielle" og "viktige" enheter, som omfatter et bredt spekter av sektorer som energi, transport, bank, helse, digital infrastruktur, og offentlig forvaltning, blant andre. Mikrovirksomheter og små virksomheter med under 50 ansatte og en årlig omsetning eller samlet balanse på under 10 millioner euro er generelt unntatt, selv om det finnes unntak.

  • Virksomheter må implementere tilstrekkelige tekniske og organisatoriske sikkerhetsforanstaltninger basert på en risikostyrings-tilnærming. De må også håndtere cybersikkerhetshendelser effektivt, sikre kontinuitet i driften ved store hendelser, og rapportere vesentlige hendelser til relevante nasjonale myndigheter. Det stilles også krav til ledelsens rolle og ansvar i sikkerhetsarbeidet.

  • Organisasjoner bør starte med å vurdere deres nåværende cybersikkerhetsstilling i forhold til NIS2-kravene, identifisere eventuelle gap, og deretter utarbeide en handlingsplan for å adressere disse. Dette kan inkludere oppdatering av politikker, prosedyrer, og sikkerhetsforanstaltninger, samt å sikre tilstrekkelig opplæring og bevissthet om cybersikkerhet blant alle ansatte.

Snakk gjerne med meg!

Kenneth De Brucq
Sr Sales Executive - Bank & Finance
Kontakt