Nye sikkerhetskrav fra EU skaper spennende muligheter. Og er minst like viktige som GDPR.

23 feb 2024

I oktober 2024 trer EU-kravet NIS2 i kraft. Her må virksomheter i de fleste større sektorer, som har mer enn 50 ansatte og en omsetning på over €10 millioner, tilpasse seg et direktiv der hensikten er å bli mer robuste overfor digitale trusler. I starten av 2025 kommer også DORA-direktivet som er spesielt rettet mot bank og finanssektoren og IKT-tjenesteleverandører.

Monica Verma

Group Chief Information Security Officer

"I flere sammenheng er DORA og NIS2 for cybersikkerhet hva GDPR er for beskyttelse av persondata. Det er regler som styrer hva virksomheter må gjøre for å ta ned risiko og unngå å bli offer for cyberangrep, samt prosedyrer om en blir rammet deriblant varsling til myndigheten"

Må rapportere innen 24 timer

Verma er sikkerhetssjef (CISO| Head of Security & Privacy) for Orange Business sin tjenesteorganisasjon på tvers av Europa. Hun har jobbet med sikkerhet i over 20 år, og særlig i sektorene der kravene er mest skjerpet og der det er flest reguleringer; bank og finans, og i helsesektoren. Hun er derfor godt kjent med hva som må gjøres når nye direktiv innføres.

– NIS2 og DORA har tydelig fokus på sikkerhetstiltakene som må være på plass, risikostyringen og hvordan en skal rapportere til myndighetene hvis en rammes av et sikkerhetsbrudd, sier hun.

I Norges tilfelle vil Nasjonal sikkerhetsmyndighet (NSM) få ansvar for NIS2 og Finanstilsynet vil ha en viktig rolle knyttet til DORA. For NIS2 må rapporteringen skje innen 24 timer etter at et innbrudd/angrep er oppdaget. For DORA er rapporteringskravene ennå ikke kjent. Om angrepet skulle medføre at uvedkommende får tilgang til sensitive personopplysninger gjelder reglene for GDPR og da må Datatilsynet kobles inn.

– Størrelsen på bøtene for å være i brudd med NIS2 vil være tilsvarende GDPR, altså opp mot to prosent av selskapets globale omsetning. For DORA er dette ikke bestemt ennå, sier Verma.

Det er toppledelsens ansvar

Verma sier at risikostyring er et topplederansvar. Det er noe bank og finans allerede er gode på. Med NIS2 og DORA er det enda viktigere å sørge for at denne ansvarligheten er både godt kjent og gjennomført hos toppledelsen i organisasjonen.

– DORA og NIS2 krever at toppledelsen beviser at risikoen er grundig ivaretatt. En må kunne vise at det er satt av nok med tid, ressurser og at det finnes beredskapsplaner. Det å gjøre denne jobben grundig gjør at flere forstår den risikoen de er utsatt for, og prioriterer sikkerhetstiltak, sier hun.

Til å løse oppgaven behøves rammeverk for risikostyring som er tilpasset bedrifter som har en kritisk infrastruktur.

– Jeg anbefaler mine kunder å kartlegge ulike risikoscenarier og vurdere disse opp mot hvordan truslene påvirker forretningen, sier hun.

I tillegg til virksomhetskonsekvens blir vurderinger av trussel-landskapet en ekstrem viktig del av risikostyringsrammeverket.

Hvor robust er banken din?

I trusselvurderingen er det viktig å tenke på hvor truslene kan komme fra. Om du tilhører en stor bedrift eller en offentlig instans så kan angrepet rettes fra en fremmed stat. Ellers er alle virksomheter av alle størrelser mulige mål for alt fra profesjonelle kriminelle miljø som kontinuerlig leter etter mulige sikkerhetshull, eller fra ungdom som ikke forstår bedre – som enkelt kan finne oppskrifter på nett om hvordan utføre digitale angrep.

For tilfellet DORA vektlegges særlig motstandskraften bank og finans har mot digitale angrep. Her vil også TIBER-EU rammeverket spille inn. Det er utviklet av den europeiske sentralbanken for å teste finansinstitusjonenes evne til å fange opp og avverge digitale angrep. Like viktig er kravet om at denne sektoren skal dele relevant trussel- og sikkerhetsinformasjon mellom seg i nettverk.

– Det er viktig å ha svar på hvordan banken raskt kan gjenopprette seg etter et angrep og hvilke tiltak som er satt inn for å sikre at infrastrukturen med alle transaksjonene ikke går ned. Om noe slikt skulle skjedd ville tapene vært på mange milliarder kroner. Derfor stiller DORA krav til at bankenes robusthet testes, sier hun.

Du må ha kontroll på hele din verdikjede

Derfor må en også være særlig bevisst på sikkerheten til sine leverandører, der banker under DORA er ansvarlig for sikkerheten til sine leverandører. Kjeltringene kan ofte oppleve at det er enklere å angripe via leverandører som ikke har de samme strenge sikkerhetsmekanismene.

– Cyberkriminelle vil prøve å få tilgang til banken via tredjeparter som tjenesteleverandører i forsyningskjeden. Skal disse leverandørene fortsette å levere til bank og finans må de bevise at de møter alle reglene i DORA. Det er vi i ferd med å få på plass i Orange Business, sier Verma.

Sikkerhet seiler derfor opp som et stort konkurransefortrinn i anbud, der mulige leverandører må dokumentere sine prosedyrer og mekanismer rundt sikkerhet, hvis de skal levere til virksomheter som må rette seg etter DORA og NIS2.

Verma mener at forutsetningen for å være i samsvar med reglene er å starte med å forstå egen sikkerhetssituasjon i dag, og gjøre en gap-analyse opp mot kravene i direktivet.

Har du planen klar?

– Det er viktig å inkludere ledelsen slik at de forstår hva som kommer. De må forstå at de nye reglene utgjør en veldig effektiv forsikring mot noe av det verste som kan ramme virksomheten.

Når en har analysen på plass er det viktig å innse at du klarer ikke å gjøre alt med en gang og det handler om å ha en forankret fremdriftsplan. Hva må gjøres? Av hvem? Hvilke ressurser behøver du? Hvem er egnet til å hjelpe dere? Hva er prislappen på prosjektet?

– Gjør jobben i faser. Ta først de risikoene som er størst eller som er enklest å fikse. Husk at bankene og andre leverandører lever av kundenes tillitt. DORA og NIS2 handler om å skape trygghet og god sikkerhet er dermed et konkurransefortrinn.

Hun presiserer at Orange Business både tilbyr rådgivning som skal hjelpe kundene møte de strenge reglene, og selve tjenestene som møter kravene når de er innført.

– For de fleste innen bank og finans vil DORA være en naturlig neste steg med investering for å øke modenheten og robustheten i finanssektoren. Mange er veldig dyktige på disse områdene allerede og er dyktige på å håndtere risiko, men en del vil nok behøve hjelp til å teste hvor robuste og motstandsdyktige de egentlig er, avslutter hun.

Vi i Orange Business ønsker å være en sterk partner for banker og finansinstitusjoner, som hjelper dem med å møte de stadig skiftende teknologiske og operative behovene, sørger for at de møter sine regulatoriske krav, og tar vare på sikkerheten til deres data og transaksjoner.

Les om hvordan vi jobber med Bank & Finans-bransjen her