DORA skal bidra til å standardisere sikkerhetsarbeidet og dermed øke den generelle sikkerheten og motstandsdyktigheten finansinstitusjoner og deres leverandører trenger i et stadig mer utfordrende trussellandskap. Gevinsten er økt trygghet og tillit til den finansielle sektoren.
For virksomheter vil etterlevelse av DORA både være en mulighet til å styrke virksomhetens robusthet, gjøre virksomheten bedre forberedt til å håndtere reguleringer og trusler, samt utgjøre et konkurransefortrinn i markedet.
Overordnet er DORA delt inn i fem kjerneområder:
- Risikostyring av IKT
- Håndtering av hendelser
- Testing av digital motstandskraft
- Håndtering av tredjepartsrisiko
- Informasjonsdeling
Disse er ytterligere beskrevet nedenfor.
I Norge er DORA oversatt til Forordningen om Digital operasjonell motstandskraft.
Hvem gjelder DORA for?
DORA gjelder for en lang rekke finansielle aktører, i både EU og EØS. Dette gjelder blant annet:
- Banker, betalings- og kredittforetak
- Forsikringsselskaper
- Investeringsforetak
- Kryptotjenestetilbydere
- Betalingsforetak
DORA gjelder imidlertid også for IKT-leverandører som tilbyr kritiske tjenester til disse aktørene. Oppsummert vil det si at norske virksomheter som opererer i EU også plikter å følge DORA.
Er din virksomhet omfattet av NIS2 direktivet? Vi har samlet det du trenger å vite om NIS2.
Når gjelder DORA fra?
DORA trådte i kraft i EU 17.01.2025 og ble innlemmet i EØS-avtalen 20.02.2025.
Ifølge regjeringen tar Finansdepartementet sikte på å legge frem en proposisjon til Stortinget om innføring av DORA i Norge før sommeren 2025. En eksakt dato for når DORA vil tre i kraft i Norge er derfor ikke fastsatt enda.
Hvordan sikre etterlevelse av DORA?
DORA er delt inn i fem kjerneområder. Samtlige av disse må hensyntas for å sikre etterlevelse for forordningen.
IKT-risikostyring
Virksomheter må etablere et helhetlig og dokumentert rammeverk for risikostyring på IKT-området. Dette inkluderer klare roller og ansvar, styring fra ledelsen, kontinuitets- og kriseplaner, beskyttelse av data, og evne til å identifisere, håndtere og gjenopprette fra IKT-hendelser. Rammeverket skal være levende og oppdateres jevnlig, spesielt etter større hendelser eller revisjoner.
Håndtering av IKT-hendelser
Virksomheter må kunne oppdage, klassifisere, håndtere og rapportere alvorlige IKT-hendelser raskt og på en strukturert måte. Det stilles krav til loggføring, varslingsprosedyrer og rapportering til relevante myndigheter innen stramme tidsfrister, samt evaluering av hendelser for kontinuerlig forbedring.
Testing av digital motstandsdyktighet
Virksomheter må teste sin digitale motstandsdyktighet jevnlig gjennom blant annet sårbarhetsanalyser, penetrasjonstester og scenarioøvelser. For enkelte virksomheter kreves avansert trusselbasert penetrasjonstesting (Threat Led Penetration Testing – TLPT). Formålet med disse er å avdekke svakheter og sårbarheter, og sørge for rask oppfølging og forbedring.
Tredjepartsrisiko og leverandørstyring
DORA krever at virksomheter har kontroll på sine IKT-leverandører. Det inkluderer oversikt over avtaler, due diligence, kontraktskrav til sikkerhet, samt uttredelsesstrategier for å kunne avslutte kritiske avtaler uten tap av drift. Kritiske leverandører kan bli underlagt tilsyn av europeiske myndigheter.
Informasjonsdeling
For å styrke finanssektorens samlede motstandskraft åpner DORA for frivillig deling av informasjon om cybertrusler mellom virksomheter. Delingen må skje i anerkjente og sikre miljøer, som eksempelvis NFCERT, og skal rapporteres til relevant myndighet.
I Advania har vi både kompetansen og verktøyene som hjelper deg på veien til etterlevelse – våre konsulenter på informasjonssikkerhet kan hjelpe deg med innføring i lovverket, konsekvensutredning, gapanalyser og oppnåelse av etterlevelse gjennom implementering av sikkerhetstiltak.
