DORAs ICT-risk rammeverk: Hvem er ansvarlig for hva?

Finansielle virksomheter står overfor en voksende rekke risikoer knyttet til informasjons- og kommunikasjonsteknologi (Information and communication technology, ICT).

For å takle disse utfordringene har EU innført Digital Operational Resilience Act (DORA)-reguleringen. DORA har som mål å etablere et robust og omfattende rammeverk for ICT-risikostyring for å sikre sikkerheten, stabiliteten og kontinuiteten til finansielle tjenester. Her vil vi utforske de viktigste komponentene i DORA og dens betydning for finanssektoren.

1. Forståelse av DORA-reguleringen

DORA skisserer et bredt og omfattende rammeverk designet for å adressere ulike IKT-risikoer finansielle enheter står overfor. Reguleringen omfatter en rekke aspekter, inkludert IKT-risikostyring, sikkerhetskopieringspolitikk, deteksjonsmekanismer, respons- og gjenopprettingsprosedyrer, kommunikasjonsstrategier og mer.

2. ICT risikostyringsrammeverk

Kjernen i DORA ligger i ICT-risikostyringsrammeverket. Finansielle virksomheter må etablere en solid, omfattende og godt dokumentert tilnærming for å adressere ICT-risikoer effektivt. Dette rammeverket skal beskytte både informasjon og ICT-ressurser, inkludert dataprogramvare, maskinvare og sensitive infrastrukturer, mot uautorisert tilgang, skade og bruk.

Ansvarlige: Toppledelse, IT-sjef, Teknologisjef, IT-sikkerhetsteam, Risikostyringsteam

3. ICT-systemer, protokoller og verktøy

Finansielle enheter må bruke og vedlikeholde oppdaterte ICT-systemer, protokoller og verktøy som er passende for omfanget av deres virksomhet. Disse systemene skal være pålitelige, i stand til å behandle data nøyaktig og raskt, og teknologisk robuste nok til å håndtere ugunstige situasjoner.

Ansvarlige: IT-avdeling

4. Identifikasjon og deteksjon

For å raskt oppdage unormale aktiviteter og potensielle trusler, må finansielle enheter identifisere og klassifisere alle IKT-støttede forretningsfunksjoner, informasjonsressurser og avhengigheter. Deteksjonsmekanismer skal muliggjøre flere lag med kontroll, definere varslingsterskler og utløse prosesser for hendelseshåndtering.

Ansvarlige: IT-sikkerhetsteam, Incident response team, IT-driftsteam

5. Respons og gjenoppretting

DORA pålegger implementering av ICT-kontinuitetspolitikk og respons- og gjenopprettingsprosedyrer for å sikre kontinuiteten til kritiske funksjoner. Disse tiltakene inkluderer sikkerhetskopierings- og gjenopprettingsmetoder og sikker datamanagement.

Ansvarlige: Kontinuitetsansvarlig, Incident response team, IT-driftsteam

6. Kommunikasjon

Finansielle enheter må ha krisekommunikasjonsplaner for å ansvarliggjøre store ICT-relaterte hendelser overfor kunder, samarbeidspartnere og offentligheten. De skal også etablere interne og eksterne kommunikasjonspolitikker, og sikre at relevant informasjon blir formidlet til ansatte og interessenter i rett tid.

Ansvarlige: Krisekommunikasjonsteam, PR-team, Toppledelse

7. Læring og utvikling

En læringskultur er avgjørende for å håndtere ICT-risikoer effektivt. Finansielle enheter må samle informasjon om sårbarheter, analysere cybertrusler og hendelser, og gjennomføre evalueringer etter hendelser for forbedring.

Ansvarlige: Incident response team, Risikostyringsteam

8. Forenklet rammeverk for kvalifiserte enheter

Visse små og ikke-sammenkoblede finansielle enheter er unntatt fra de omfattende kravene i DORA. I stedet følger de et forenklet ICT-risikostyringsrammeverk tilpasset deres behov, som vektlegger rask og effektiv risikostyring samtidig som systemets sikkerhet og robusthet opprettholdes.

Konklusjon

DORA-reguleringen representerer et betydelig skritt fremover med å sikre det digitale landskapet for finansielle enheter. Ved å implementere et omfattende rammeverk for ICT-risikostyring kan organisasjoner beskytte sine operasjoner, beskytte sensitiv informasjon og sikre kontinuiteten til kritiske funksjoner.

Det forenklede rammeverket for kvalifiserte enheter fremmer også tilpasningsevne og motstandskraft, slik at de kan navigere trygt i det digitale landskapet. Gjennom samarbeidsinnsats og kontinuerlig læring kan finanssektoren omfavne DORA som en katalysator for sterkere digital operasjonell motstandskraft.


Les om våre tjenester for bank og finans her

Cybersikkerhet og alle typer av skyløsninger

I Orange Business har vi lang erfaring med å hjelpe kunder innenfor bank- og finansnæringen, ikke bare i Norge, men også globalt. Sammen med vårt søsterselskap Orange Cyberdefense dekker vi de digitale behovene som moderne finansinstitusjoner trenger.

  • Vi er et av få selskaper som er sertifisert for Payment Card Industry Data Security Standard (PCI DSS) som sikrer store volum av korttransaksjoner
  • Vi er stolte av å drifte kjente betalingsløsninger
  • Vi har mer enn 25 norske banker som kunder

Ta gjerne kontakt med meg om du vil snakke om DORA!

Kenneth De Brucq
Sr Sales Executive - Bank & Finance
Kontakt