Hovedutfordringen for finansselskaper er å tilpasse seg DORA-lovgivningen og oppnå digital motstandsdyktighet samtidig som man forbedrer kjernevirksomheten.
EUs Digital Operational Resilience Act (DORA) er en del av Digital Finance Package (DFP). Denne EU-forordningen har som mål å konsolidere risiko knyttet til informasjons- og kommunikasjonsteknologi og outsourcing-krav på tvers av EU i én enkelt lov. DORA ble vedtatt januar i år med en implementeringsperiode frem til 17. januar 2025 da den trer i kraft. DORA omfatter nesten alle finansielle enheter, inkludert kritiske tredjeparts IKT-tjenesteleverandører. Den vil også gjelde for norske finansforetak da den sannsynligvis vil bli tatt opp gjennom EØS-avtalen.
Europakommisjonen publiserte den første utkastet til DORA høsten 2020. DFP inkluderer en pakke med tiltak for å muliggjøre og støtte innovasjon og konkurransekraft i digital finans mens man reduserer sårbarheter og risikoer. DORA adresserer risikosiden av DFP ved at digitalisering og operasjonell motstandskraft innen finanssektoren ansees som to sider av samme sak. EU kan ikke oppnå digital operasjonell motstandskraft uten tilstrekkelig beskyttelse harmonisert på tvers av unionen.
Med høy digitalisering i de fleste finansielle enheter, må digital motstandskraft bygges inn i operasjonelle rammeverk. DORA inneholder derfor grunnleggende krav innen informasjons- og kommunikasjonsteknologi, risikostyring, informasjonssikkerhet og IKT-outsourcing. DORA er ment å harmonisere kravene på tvers av EU ved å etablere én enkelt omfattende regulering for hele finansindustrien.
Vi ser fem hoveddeler av DORA som norsk finansbransje må etterleve:
1. IKT-risikostyringsrammeverk
Et operasjonelt og velfungerende IKT-risikostyringsrammeverk er påkrevd i DORA. Rammeverket bør bestå av krav om hvordan man skal håndtere digitale risikoer i henhold til en satt risikoprofil. Et IKT-risikostyringsrammeverk er også påkrevd både i IKT-forskriften og i EBAs Retningslinjer for risikostyring, men med høyere grad av frihet til utformingen. Rammeverket for risikostyring som beskrives i DORA stiller spesifikke krav både til innholdet og prosessene for identifisering, beskyttelse og forebygging, deteksjon og respons samt gjenoppretting etter cybersikkerhetshendelser. Kravene i rammeverket er bygd på NIST Cybersecurity Framework, som også Nasjonal sikkerhetsmyndighets grunnprinsipper er basert på.
Det er et spesifikt krav i DORA som sier at virksomhetene skal følge «tre forvarslinjer»-modellen, og jevnlig gjennomføre internrevisjoner av rammeverket for IKT-risikostyring. Tiltak fra revisjonene skal følges opp i en formell prosess, og styret i virksomheten har ansvar for å jevnlig vurdere internrevisjonsplanene som omfatter revisjoner av IT- og cybersikkerhet.
2. Strategi for digital motstandsdyktighet
En digital operasjonell motstandsdyktighetsstrategi er påkrevd for finansielle enheter. Strategien skal beskrive hvordan rammeverket for IKT-risikostyring skal implementeres og utvikles. Designet som en virksomhetsomfattende strategi som støtter virksomhetens mål, inkluderer strategien metoder for å håndtere IKT-risikoer og oppnå IKT-mål, inkludert forholdet til IKT tredjeparter. Tidligere var dette også påkrevd av EBAs Retningslinjer for risikostyring, men DORAs krav er mer omfattende og spesifikke.
3. Klassifisering og rapportering av hendelser
DORA gir retningslinjer for prosessen for hendelseshåndtering, og krever at finansielle enheter klassifiserer og gir detaljerte rapporter om større IKT-relaterte hendelser til det lokale finanstilsynet. Med andre ord vil Finanstilsynet ha en mer fremtredende rolle i å overvåke hvordan finansinstitusjoner håndterer hendelser. Dette er et område hvor det vil bli utgitt tekniske standarder for klassifisering og rapportering, for å hjelpe finansielle institusjoner og harmonisere de rapportene som gis fra institusjonene.
Overgangen til en mer standardisert måte å håndtere og rapportere hendelser på kan imidlertid være utfordrende avhengig av selskapets nåværende prosess for hendelseshåndtering. Det er også et spesifikt krav i DORA at internrevisjonen jevnlig skal gjennomføre revisjoner av denne prosessen.
4. Penetrasjonstesting og testing av digital motstandsdyktighet
DORA krever at finansielle enheter skal ha et program for testing av digital operasjonell motstandsdyktighet som er tilpasset virksomhetens omfang og kompleksitet, og som består av en rekke tester. Dette inkluderer penetrasjonstesting av alle kritiske systemer minimum årlig, og potensielt annen type testing som for eksempel BCM/DR-testing, kildekodegransking, applikasjonstesting, med mer.
Alle finansielle enheter, unntatt mikrobedrifter, er pålagt å utføre trusselbasert penetrasjonstesting (såkalt red-team testing) av uavhengige, anerkjente og akkrediterte parter. Sannsynligvis vil dette gjøre at de fleste finansforetak bør ha en eller flere leverandørpartnere de kan outsource penetrasjonstesting og testing av digital motstandsdyktighet til i fremtiden.
5. Håndtering av tredjeparter
Styring og håndtering av IKT-tredjepartsleverandører er et område hvor DORA skiller seg mest fra EBA Guidelines. De mest fremtredende nye kravene er fokusert på å minimere konsentrasjonsrisiko og avhengighet av kritiske IKT-tredjeparter. DORA introduserer detaljerte krav om i) vurdering og implementering av en multivendor (selger) -strategi, ii) forhåndsvurderinger knyttet til konsentrasjonsrisiko, iii) krav til at leverandørene overholder høye standarder for informasjonssikkerhet, og iv) forsikring om at partene er lett utskiftbare og at det finnes en exit-strategi for hver leverandør.
DORA gir europeiske myndigheter et omfattende ansvar og jurisdiksjon til å styre finansinstitusjoners styring og valg av IKT-tredjeparter, samt å overvåke IKT-tredjeparter selv.
Konklusjon
Sammenfattende er DORA fokusert på styring og prosesser for å oppnå digital operasjonell motstandsdyktighet. Hovedutfordringen for finansselskaper er å tilpasse seg DORA-lovgivningen og oppnå digital motstandsdyktighet samtidig som man forbedrer kjernevirksomheten.
Det er nye og omfattende krav som treffer operasjonelle prosesser som hendelseshåndtering og sårbarhetshåndtering. Samtidig er mange av kravene kjente fra for eksempel NIST Cybersecurity Framework og Nasjonal sikkerhetsmyndighets grunnprinsipper. Internrevisjonen får en viktig rolle for å gi styret et tidsriktig innblikk i hvordan disse prosessene fungerer, om kravene etterleves, og om kontrollene er effektive.
