DORAs ICT-riskramverk: Vem ansvarar för vad?

Finansiella verksamheter står inför en växande mängd risker relaterade till informationsteknologi (Information and communication technology, ICT). För att hantera dessa utmaningar har EU infört Digital Operational Resilience Act (DORA)-förordningen. DORA syftar till att etablera en robust och omfattande ram för ICT-riskhantering för att säkerställa stabiliteten, säkerheten och kontinuiteten för finansiella tjänster. Här kommer vi att utforska de viktigaste komponenterna i DORA och dess betydelse för finanssektorn.

1. Förståelse för DORA-förordningen

DORA skissar en bred och omfattande ram utformad för att adressera olika ICT-risker som finansiella enheter står inför. Förordningen omfattar en rad aspekter, inklusive ICT-riskhantering, säkerhetskopieringspolicy, detektionsmekanismer, svars- och återställningsförfaranden, kommunikationsstrategier och mer.

2. ICT-riskhanteringsramverk

Kärnan i DORA ligger i ICT-riskhanteringsramverket. Finansiella verksamheter måste etablera en solid, omfattande och väl dokumenterad metod för att effektivt hantera ICT-risker. Detta ramverk ska skydda både information och ICT-resurser, inklusive dataprogramvara, maskinvara och känslig infrastruktur, mot obehörig åtkomst, skada och användning.

Ansvariga: Ledningsgrupp, IT-chef, Teknisk chef, IT-säkerhetsteam, Riskhanteringsteam

3. ICT-system, protokoll och verktyg

Finansiella enheter måste använda och underhålla uppdaterade ICT-system, protokoll och verktyg som är lämpliga för omfattningen av deras verksamhet. Dessa system ska vara pålitliga, kunna hantera data noggrant och snabbt, och teknologiskt robusta nog för att hantera ogynnsamma situationer.

Ansvarig: IT-avdelning

4. Identifiering och detektion

För att snabbt upptäcka onormala aktiviteter och potentiella hot måste finansiella enheter identifiera och klassificera alla ICT-stödda affärsfunktioner, informationsresurser och beroenden. Detektionsmekanismer bör möjliggöra flera lager av kontroll, definiera tröskelvärden för varningar och utlösa processer för händelsehantering.

Ansvariga: IT-säkerhetsteam, Incidenthanteringsteam, IT-driftsteam

5. Svar och återhämtning

DORA kräver att ICT-kontinuitetspolicy och svars- och återhämtningsförfaranden implementeras för att säkerställa kontinuiteten för kritiska funktioner. Dessa åtgärder inkluderar säkerhetskopierings- och återställningsmetoder samt säker datalagring.

Ansvariga: Kontinuitetsansvarig, Incidenthanteringsteam, IT-driftsteam

6. Kommunikation

Finansiella enheter måste ha kriskommunikationsplaner för att informera om stora ICT-relaterade händelser till kunder, samarbetspartners och allmänheten. De ska också etablera interna och externa kommunikationspolicyer och säkerställa att relevant information kommuniceras till medarbetare och intressenter i rätt tid.

Ansvariga: Krisinformationsteam, PR-team, Ledningsgrupp

7. Lärande och utveckling

En lärande kultur är avgörande för att effektivt hantera ICT-risker. Finansiella enheter måste samla information om sårbarheter, analysera cybershot och händelser samt genomföra utvärderingar efter händelser för förbättring.

Ansvariga: Incidenthanteringsteam, Riskhanteringsteam

8. Förenklat ramverk för kvalificerade enheter

Vissa små och oanslutna finansiella enheter är undantagna från de omfattande kraven i DORA. Istället följer de ett förenklat ICT-riskhanteringsramverk som är anpassat till deras behov, vilket betonar snabb och effektiv riskhantering samtidigt som systemets säkerhet och robusthet bibehålls.

Slutsats

DORA-förordningen representerar ett betydande steg framåt för att säkra det digitala landskapet för finansiella enheter. Genom att implementera en omfattande ram för ICT-riskhantering kan organisationer skydda sina operationer, skydda känslig information och säkra kontinuiteten för kritiska funktioner.

Det förenklade ramverket för kvalificerade enheter främjar också anpassningsförmåga och motståndskraft, så att de kan navigera säkert i det digitala landskapet. Genom samarbetsinsatser och kontinuerlig inlärning kan finanssektorn omfamna DORA som en katalysator för starkare digital operativ motståndskraft.

dora article

Cybersäkerhet och alla typer av molnlösningar

På Orange Business har vi lång erfarenhet av att hjälpa kunder inom bank- och finanssektorn, inte bara i Sverige utan även globalt. Tillsammans med vårt systerbolag Orange Cyberdefense täcker vi de digitala behoven som moderna finansinstitut kräver.

  • Vi är ett av få företag som är certifierade enligt Payment Card Industry Data Security Standard (PCI DSS) som säkrar stora volymer av korttransaktioner
  • Vi är stolta över att driva välkända betalningslösningar
  • Vi arbetar idag med flera kunder inom bank- och finanssektorn
Orange_Cyberdefense_CMYK_Master_Logo_Black_Text.png

Ta gärna kontakt med mig om du vill diskutera DORA!

Group Chief Information Security Officer (CISO)
Victoria Ekstedt
Group CISO
Kontakt

Follow us