Hvad indebærer EU's nye forordning for cybersikkerhed og forretningskontinuitet for finanssektoren? Bliv klogere på hvad Digital Operational Resilience Act (DORA) vil betyde for de finansielle virksomheder i Danmark.

Hvad er DORA?

DORA, eller Digital Operational Resilience Act, er et banebrydende regelsæt, som Den Europæiske Union har indført for at styrke cybersikkerheden i bank- og finanssektoren. Formålet med DORA er at sikre, at finansielle institutioner og markedsaktører er rustet til at håndtere og forebygge cybertrusler, samtidig med at de opretholder operationel stabilitet.
Dette er særligt vigtigt i lyset af den øgede digitalisering af finanssektoren og det stigende antal cyberangreb.

DORA i korte træk

  • Med den nye forordning tager EU en helhedsorienteret tilgang til effektiv risikostyring, evnen til at opretholde driften i tilfælde af et cyberangreb eller IT-nedbrud samt risikostyring i forhold til tredjepartsleverandører
  • DORA stiller krav til alle aktører i unionen, der er aktive inden for finanssektoren, uanset størrelse. Da regelsættet er omfattende, er alle aktører underlagt forordningen, inklusive deres tredjepartsleverandører. Du kan læse mere længere nede i denne artikel om hvilke virksomheder, der er omfattet.
  • EU's tilsynsmyndigheder på finansområdet, ESFS - The European System of Financial Supervision, som omfatter tre myndigheder, der tilsammen kaldes ESA'er - har opgaven med at sikre, at reglerne bliver overholdt. De berørte virksomheder og institutioner har til 2025 til at implementere DORA

Her får DORA afgørende betydning

DORA vil få en bred indvirkning på flere områder i finanssektoren. Det vil påvirke håndteringen af operationelle risici, forretningskontinuitet, hændelsesrapportering og evnen til effektivt at reagere på hændelser.
Derudover vil DORA sætte høje standarder for at sikre, at finansielle aktører kan opretholde operationel kontinuitet og dataintegritet, selv under cyberangreb. Dette falder inden for kategorien "Informations- og Kommunikationsteknologi", også kaldet IKT. 
Lad os se nærmere på, hvad det nye regelsæt konkret betyder.

Risikostyring

Alle finansielle virksomheder inden for EU skal have et omfattende system til risikostyring relateret til IKT. Dette indebærer blandt andet at kunne:

  • Identificere og dokumentere virksomhedens kritiske funktioner og aktiver
  • Installere sikre systemer og værktøjer, der minimerer påvirkningen af IKT-risici
  • Overvåge og identificere alle kilder til IKT-risici for at opdage unormal aktivitet og udarbejde forebyggende tiltag
  • Udarbejde en omfattende politik for forretningskontinuitet, inklusive detaljerede krise- og genoprettelsesplaner
  • Teste planerne årligt
  • Udvikle et system til at drage læring og tage handling baseret på både egne og andre virksomheders IKT-hændelser

Rapportering af risici relateret til IKT

Digital Operational Resilience Act opstiller også en ny ramme for klassificering, håndtering og rapportering, som vil kræve en forbedring af virksomheders evne til at opdage og håndtere hændelser. Målet er at harmonisere branchens nuværende rapporteringskrav. For virksomheder betyder det blandt andet at:

  • Udvikle en effektiv proces til at klassificere og logge alle hændelser relateret til IKT. Hændelserne skal klassificeres efter kriterier udarbejdet af de europæiske tilsynsmyndigheder
  • Indsende tre rapporter (indledende, mellemliggende og endelig rapport) om alle hændelser relateret til IKT
  • Rapportere IKT-hændelser i overensstemmelse med de standardformularer, som tilsynsmyndighederne har udarbejdet til formålet

Test af virksomheders digitale modstandskraft

Den nye forordning betyder også, at alle finansielle virksomheder inden for EU bliver forpligtet til at teste deres digitale sårbarhed og modstandskraft. Mere specifikt betyder skal de:

  • Gennemføre grundlæggende tests af deres IKT-systemer og -værktøjer hvert år
  • Uden forsinkelse rette alle sårbarheder, der identificeres ved test
  • Gennemføre omfattende penetrationstests (TLPT) hvert tredje år. Testens udformning vil blive specificeret i en teknisk standard (RTS). Det er kun udvalgte virksomheder med aktiviteter, som bliver anset for at være særligt systemkritiske, som bliver omfattet af kravet om TLPT-test
  • Kravet om test omfatter også tredjepartsleverandører, som er forpligtet til at deltage og samarbejde fuldt ud.

Håndtering af IKT-risici hos tredjepart

Med DORA får alle finansielle aktører i EU en fælles ramme for risikostyring af IKT-tjenester fra tredjepartsleverandører. Meget af det nye rammeværk ligner de eksisterende regler, men der er også ændringer.
Blandt andet udvides kravet til outsourcing af IKT-udstyr fra kun at gælde cloud-leverandører til at omfatte alle tredjepartsleverandører. Derudover skal virksomheder iværksætte flere andre tiltag, som for eksempel:

  • Vurdere potentielle IT-risici, der kan opstå ved brug af underleverandører, og sikre kontrol af de risici, brugen af IKT-tjenester fra tredjepartsleverandører medfører
  • Rapportere al outsourcet aktivitet samt alle ændringer relateret til kritiske IKT-tjenester fra tredjeparter
  • Forenkle en omfattende overvågning ved at integrere væsentlige dele af IKT-tjenesterne og samarbejdet med leverandører i virksomhedens egen drift
  • Sikre, at aftaler med tredjepartsleverandører indeholder detaljeret og fyldestgørende information om serviceniveau, placering for datahåndtering og -lagring med mere

Opfordring til at dele information

For at sikre en stærk cybersikkerhed opfordres alle finansielle aktører, der er aktive inden for EU, til at udveksle information om cybertrusler med hinanden. EU's tilsynsmyndigheder modtager og stiller anonymiserede data om cybertrusler til rådighed og forventer, at virksomhederne udvikler processer til at handle på baggrund af denne information.

Hvilke virksomheder bliver omfattet af DORA?

DORA vil omfatte en bred vifte af finansielle aktører, herunder banker, forsikringsselskaber, værdipapircentraler og markedspladser. Som allerede nævnt vil regelsættet også berøre tredjepartsleverandører, der leverer kritiske tjenester til finanssektoren. Hvis leverandørerne er baseret uden for EU, skal de oprette et europæisk datterselskab for fortsat at kunne drive virksomhed i unionen.
DORA er designet til at være inkluderende og gælder både store finansinstitutioner og mindre aktører, da alle har en vigtig rolle at spille i opretholdelsen af cybersikkerhed. Derfor vil yderst få virksomheder inden for finanssektoren være undtaget fra DORA-reglerne.
Den nye forordning omfatter også aktører, som ikke tidligere har været berørt. Blandt dem er udbydere af kryptotjenester, alternative investeringsfonde, crowdfunding, forsikringsforvaltere, revision med mere.

Hvornår træder DORA i kraft?

DORA er allerede trådt i kraft, nemlig den 1. januar 2023, men virksomheder fik to år til at implementere de nødvendige tiltag for at leve op til forordningen.
Tilsynet med virksomheder begynder i januar 2025, og dem, som ikke lever op til lovgivningen, risikerer bøder.

Sådan sikrer du, at din virksomhed lever op til DORA

At implementere tiltag for at leve op til kravene i DORA kræver både strategi og ressourcer. Her er en liste over nogle af de vigtige skridt i processen:

  1. Sæt jer ind i DORA-regelsættet. Begynd med at gennemgå DORA-forordningen samt dens begreber og retningslinjer. Med en dyb forståelse af de kravene. kan I kunne arbejde mere struktureret og effektivt med implementeringen
  2. Identificer de forskellige ansvarsområder: Kritiske tjenester og systemer, der er relevante for jeres virksomhed, og som kan påvirke den finansielle stabilitet og kundernes tillid
  3. Evaluér jeres nuværende praksis omkring cybersikkerhed. Foretag en grundig evaluering af jeres eksisterende sikkerhedsprocedurer, processer til at håndtere hændelser, sikkerhedsarkitektur og jeres evne til at opretholde operationel kontinuitet ved hændelser 
  4. Udarbejd en implementeringsplan. Læg en detaljeret plan for at implementere de tiltag, der er nødvendige for at leve op til DORA. Det gælder bl.a. tidsrammer, ansvarsfordeling og allokering af ressourcer. Prioriter tiltag baseret på risiko og betydning for virksomheden
  5. Opdater sikkerhedspolitikker og -processer. Revider og opdater jeres processer og politikker, så de opfylder DORA-kravene. Sørg også for at have klare retningslinjer for hændelseshåndtering, datahåndtering og operationel kontinuitet
  6. Invester i nødvendig teknologi og uddannelse. Gennemgå jeres nuværende tekniske infrastruktur (inklusive tredjepartstjenester). Investér i ny teknologi og skift eventuelt leverandør for at opfylde kravene i DORA regelsættet. Sørg også for, at medarbejdere og eksterne konsulenter er tilstrækkeligt trænede
  7. Samarbejd med tilsynsmyndigheder og brancheorganisationer. Gennem tæt samarbejde med - og vejledning fra - tilsynsmyndigheder og brancheorganisationer kan I sikre, at I træffer de rigtige foranstaltninger og foretager de rette investeringer
  8. Følg op og evaluer jævnligt. Implementeringen er kun det første skridt i arbejdet med at styrke cybersikkerheden. For at sikre et højt sikkerhedsniveau kræves der løbende opfølgning og evaluering af jeres processer.

DORA-forordningen eller NIS 2-direktivet - hvad er vigtigst?

Nogle aktører, som for eksempel banker, er omfattet både af DORA og det nye NIS 2-direktiv. Her har EU dog besluttet, at DORA-forordningen skal anvendes før NIS 2-direktivet.

Vil I have hjælp til at tilpasse jeres virksomhed til DORA?

DORA er et nødvendigt og vigtigt initiativ fra EU for at styrke cybersikkerheden inden for finanssektoren. Ved at implementere Digital Operational Resilience Act er finansaktører bedre rustet til at imødekomme de voksende trusler fra cyberangreb og sikre, at de kan opretholde kontinuiteten i deres services samt beskytte kundernes data og aktiver. Det er en fælles indsats, som vil gavne hele sektoren, deres kunder og i sidste ende samfundet som helhed.
I CGI kender vi både virksomhedernes udfordringer med DORA, men også de muligheder, forordningen giver i form af stærkere cybersikkerhed og bedre håndtering af hændelser.
Vores eksperter har solid erfaring med både automatiseret regelefterlevelse og forbedret databeskyttelse. Kontakt os i dag for en uforpligtende samtale om hvordan jeres virksomhed bliver klar til Digital Operational Resilience Act.