14 oktober 2024

Digital Operational Resilience Act (DORA): Hva er det, og hva betyr det for selskaper i Norge?

DORA er et nytt EU-regelverk som har som mål å styrke finansinstitusjoners evne til å håndtere teknologiske risikoer og digitale trusler. Regelverket trer i kraft i januar 2025, og norske myndigheter forbereder seg på å implementere dette i nasjonal lovgivning. Selskaper som allerede etterlever DORA vil i stor grad være fritatt fra NIS2-krav, da DORA anses som mer omfattende og spesifikt rettet mot finanssektoren. 

technician-digital-tools.jpg

DORA er laget for å beskytte finanssektoren mot digitale trusler. I dag er teknologi en sentral del av hvordan banker, forsikringsselskaper og andre finansinstitusjoner opererer. Med denne avhengigheten følger det også risiko, som databrudd, cyberangrep og systemfeil. DORA stiller krav til hvordan disse institusjonene skal håndtere slike risikoer for å sikre at de kan fortsette å fungere selv under et cyberangrep eller teknisk svikt. 

De fem søylene i DORA er:

  1. IKT-risikostyring – Institusjoner må ha strategier for å håndtere teknologiske risikoer. Ledelsen har ansvar for å etablere planer for å håndtere teknologisk svikt eller angrep. en plan for hvordan de skal sikre driften selv om noe skulle gå galt med teknologien. 
  2. Hendelseshåndtering – Det kreves systemer for rask respons på alvorlige teknologiske hendelser, og alvorlige hendelser må rapporteres i tide. 
  3. Motstandsdyktighet og testing– Finansinstitusjoner må teste at systemene deres er motstandsdyktige mot ulike angrep, og verifisere at tiltakene mot angrep faktisk fungerer. 
  4. Risikostyring av tredjeparter – Finansinstitusjoner må sikre at deres leverandører overholder høye sikkerhetsstandarder. 
  5. Informasjonsdeling – Institusjoner må dele relevant informasjon om trusler og hendelser for å bidra til et sikkert finansielt økosystem. 

Tidslinje for implementering av DORA:

  • 16. januar 2023: DORA vedtatt. 
  • 17. januar 2024: Første runde med retningslinjer. 
  • 17. juli 2024: Andre runde med retningslinjer. 
  • 17. januar 2025: DORA trer i kraft. 
  • Fra 2025: Tilsynsaktiviteter starter. 

Forskjellen mellom NIS2 og DORA

Selv om både NIS2 og DORA omhandler cybersikkerhet, er det viktige forskjeller i fokus og detaljnivå. NIS2 dekker mange kritiske sektorer som energi, helse, transport og digital infrastruktur. Det setter krav til at virksomheter i disse sektorene skal beskytte sine nettverks- og informasjonssystemer, samt ha prosedyrer for å håndtere sikkerhetshendelser. NIS2 er utformet for å styrke cybersikkerheten bredt på tvers av sektorer, med mer generelle krav for å dekke mange ulike sektorer. 

DORA, derimot, fokuserer spesifikt på finanssektoren og går mye dypere når det gjelder operasjonell motstandsdyktighet. DORA stiller mer detaljerte krav til hvordan finansinstitusjoner skal kunne fortsette sin virksomhet, selv under teknologiske angrep eller systemsvikt. Dette inkluderer strengere krav til testing av systemer, hendelseshåndtering og styring av tredjepartsrisikoer. For finansinstitusjoner som er underlagt begge regelverkene, har DORAs spesifikke krav forrang over de mer generelle kravene i NIS2, i tråd med "lex specialis"-prinsippet. 

Hvem omfattes av DORA?

DORA gjelder for en bred gruppe finansielle virksomheter og deres kritiske IKT-tjenesteleverandører i EU. Dette inkluderer mer enn 22 000 finansielle enheter, som: 

  • Kredittinstitusjoner (banker) 
  • Betalingsinstitusjoner 
  • E-pengeinstitusjoner 
  • Verdipapirforetak (investeringsfirmaer) 
  • Forsikringsselskaper 
  • Crypto-asset service providers (CASPs) 
  • Pensjonsfond 
  • Børs- og oppgjørssentraler 
  • Alternative fondsforvaltere 
  • Kredittvurderingsbyråer 
I tillegg omfattes også kritiske IKT-leverandører som tilbyr tjenester til disse finansielle enhetene, under et spesifikt EU-overvåkningsrammeverk som overvåkes av europeiske tilsynsmyndigheter​. 
 

Tilsyn under DORA:

  • Nasjonale tilsynsmyndigheter: DORA pålegger nasjonale tilsynsmyndigheter, som i Norges tilfelle vil være Finanstilsynet, ansvaret for å overvåke og sikre at finansinstitusjonene etterlever DORAs krav. Disse myndighetene vil ha kompetanse til å utføre inspeksjoner, kreve informasjon, og gi pålegg om nødvendige tiltak dersom institusjoner ikke oppfyller kravene. 
  • Samarbeid mellom tilsynsmyndigheter: DORA legger også opp til et samarbeid mellom nasjonale tilsynsmyndigheter på tvers av EU for å sikre en harmonisert tilnærming til tilsyn og håndheving. Dette betyr at tilsynsmyndighetene vil utveksle informasjon og koordinere sine aktiviteter for å sikre enhetlig implementering av DORA i hele EU-området. 
  • Sanksjoner: Dersom en institusjon ikke etterlever kravene i DORA, kan tilsynsmyndighetene ilegge administrative sanksjoner, som bøter eller pålegg om korrigerende tiltak. Alvorlige brudd kan føre til betydelige økonomiske straffer, og i visse tilfeller kan det også være aktuelt med andre rettslige tiltak. 
  • Kontinuerlig overvåkning: DORA krever også at tilsynsmyndighetene etablerer systemer for kontinuerlig overvåkning av finansinstitusjoners IKT-risikostyring. Dette inkluderer overvåkning av kritiske leverandører og tredjeparts tjenesteytere, som er en viktig del av det finansielle økosystemet. 

Implementering i Norge

Selv om DORA er vedtatt i EU og trer i kraft der fra 17. januar 2025, er det ennå ikke formelt tatt inn i EØS-avtalen. Imidlertid forbereder norske myndigheter seg på å implementere DORA gjennom nasjonal lovgivning, slik at norske finansforetak blir underlagt de samme kravene som i EU. Finansdepartementet har bedt Finanstilsynet utrede nødvendige lovendringer for å tilpasse norsk rett til DORA, og høringsprosessen er allerede i gang 

Hvordan forberede seg?

  1. Etabler samarbeidsteam på tvers av avdelinger: Det er viktig å inkludere representanter fra IT, cybersikkerhet, risikostyring, compliance, juridisk avdeling og ledelse i planleggingen. I tillegg bør andre avdelinger som markedsføring, HR og kundeservice involveres, siden de også kan være sårbare for digitale trusler. Et helhetlig samarbeid på tvers av organisasjonen bidrar til å utvikle en omfattende og proaktiv strategi for cybersikkerhet​.  
  2. Sikre støtte fra ledelsen: DORA krever at toppledelsen har en aktiv rolle i å forstå og håndtere digitale risikoer. Det er avgjørende at styret og ledergruppen er engasjert og kunnskapsrike nok til å lede virksomhetens forberedelser. Dette vil sikre at DORA ikke bare blir en formalitet, men en sentral del av selskapets strategi​. 
  3. Grundig analyse av eksisterende systemer, prosesser og potensielle sårbarheter: Identifiser områder der dagens sikkerhets- og motstandskapasitet ikke møter DORA-kravene. Dette inkluderer nøye gjennomgang av IT-risikostyring, hendelseshåndtering, testing av motstandskraft, og styring av tredjepartsrisiko. Prioriter sårbarheter som kan forårsake betydelige forstyrrelser, og bruk ekstern ekspertise der det er nødvendig for å verifisere prosessene​.  
  4. Utvikle og teste en kontinuitetsplan: En omfattende kontinuitetsplan bør omfatte både prosesser for rask gjenoppretting av viktige systemer og alternative måter å opprettholde kritiske funksjoner på i tilfelle alvorlige teknologiske hendelser. Det kan innebære å etablere backup-systemer, sette opp midlertidige manuelle prosesser, eller bruke redundante ressurser som gjør det mulig å fortsette viktige tjenester selv når hovedsystemene er utilgjengelige. Gjennomfør regelmessige beredskapsøvelser som simulerer ulike scenarier for driftsforstyrrelser. Dette gjør at både organisasjonen og leverandører kan teste sin tilpasningsevne og robusthet i kritiske situasjoner. Øvelsene gir innsikt i hvor raskt og effektivt virksomheten kan tilpasse seg uforutsette utfordringer og hjelper med å identifisere forbedringsområder i både kontinuitets- og gjenopprettingsplanene. 
  5. Etablere klare mål og kontinuerlig overvåkning: Definer tydelige, målbare mål for hvordan selskapet skal overholde kravene i DORA, og sørg for at disse er forankret i organisasjonens overordnede forretningsstrategi. Implementer kontinuerlig overvåkning og testing for å sikre at systemene oppfyller kravene og for å identifisere eventuelle avvik tidlig. 
  6. Styring av leverandørrisiko: Selskaper bør starte med å identifisere alle sine kritiske IKT-leverandører og evaluere deres sikkerhetsstandarder. Oppdater kontrakter for å inkludere DORA-spesifikke krav, og etabler prosesser for kontinuerlig overvåkning av leverandørenes praksis. Inkluder leverandører i sikkerhetstester og beredskapsøvelser for å sikre at avhengigheter av eksterne parter blir testet under realistiske forhold. 
 

Støtte og ressurser:

  • ENISA: Det europeiske byrået for nett- og informasjonssikkerhet gir veiledning om hvordan selskaper kan implementere både NIS2 og DORA. 
  • Nasjonale myndigheter: I Norge vil Finanstilsynet ha ansvar for å følge opp at DORA-regelverket blir overholdt. 

Kilder:

  • Finansdepartementet – Gjennomføring av nye regler om digital operasjonell motstandsdyktighet i finanssektoren (DORA): Forordning om digital operasjonell motstandsdyktighet i finanssektoren (DORA) - Finanstilsynet.no
  • Regjeringen - Høring – nye regler om digital operasjonell motstandsdyktighet i finanssektoren (DORA): https://www.regjeringen.no/no/aktuelt/horing-nye-regler-om-digital-operasjonell-motstandsdyktighet-i-finanssektoren-dora/id3022622/
  • Thommessen - Forslag til gjennomføring av DORA i norsk rett: https://www.thommessen.no/aktuelt/forslag-til-gjennomforing-av-dora-i-norsk-rett
  • The European - Five key steps to prepare for DORA: https://the-european.eu/story-35675/five-key-steps-toprepare-for-dora.html?doing_wp_cron=1725378216.4466769695281982421875
  • Kroll - Preparing For DORA: A Guide For Financial Institutions: https://www.kroll.com/en/insights/publications/cyber/preparing-dora-guide-financial-institutions