Site Search

Loading Results

Digital Operational Resilience Act (DORA) – Alt du trenger å vite

16/01/23

Margrethe Rønning, direktør i PwC

– Virksomhetene bør starte med en gap-analyse: Hvordan gjør vi det i dag? Hva er det som kreves av oss innen første kvartal 2025 når DORA skal håndheves?, sier Margrethe Rønning, cyber-direktør i PwC.

DORA vil gjelde fra 17. januar 2025. Cyberangrep skjer hyppigere og rammer flere, viser PwCs Cyber Survey. DORAs hensikt er å gjøre virksomhetene mer motstandsdyktige mot cybertrusler. 

Blir du berørt av DORA?

DORA gjelder for mer enn 22 000 finansielle enheter og IKT-tjenesteleverandører, og stiller nye krav til alle aktører i finansmarkedet. I Norge er rundt 250 virksomheter innen bank og finans berørt. 

Forordningen vil kreve regelmessig testing av sikkerhetskontroller innenfor IKT og cyber, for å bekrefte at driften kan opprettholdes selv om risikoene realiseres.

Alt fra verdipapirforetak, betalingsforetak til tjenesteleverandører for folkefinansiering blir berørt av DORA.

Compliance med dagens IKT-forskrift og andre reguleringer eller standarder som for eksempel ISO 27001, er ikke tilstrekkelig for å møte de spesifikke kravene i DORA. Alle finansinstitusjoner må derfor innstille seg på å gjennomføre ytterligere IKT-sikkerhetstiltak i nær fremtid.

Loven vil erstatte IKT-forskriften for foretakene som omfattes. Finanstilsynet anbefaler samtidig at IKT-forskriften fortsatt skal gjelde for inkassoforetak og eiendomsmeglerforetak som ikke er omfattet av DORA. 

Kontakt oss



En større IKT-hendelse vil kunne gi store kostnader for virksomheten og deres kunder. Formålet med DORA er å redusere sannsynligheten for slike hendelser ved å styrke den digitale operasjonelle motstandsdyktigheten i finanssektoren.

Margrethe RønningCyberdirektør i PwC

Ta DORA-sjekken: Har din virksomhet kontroll? 

IKT risikostyring

DORA stiller krav til etablering av et omfattende rammeverk for IKT-risikostyring, som: 

  • Installere og vedlikeholde robuste IKT-systemer og verktøy som minimerer konsekvensene av IKT-hendelser

  • Identifisere, klassifisere og dokumentere kritiske funksjoner og informasjonsverdier.

  • Kontinuerlig overvåke alle kilder til IKT-risiko for å etablere beskyttelses- og forebyggingstiltak

  • Etablere system for umiddelbar oppdagelse av unormal aktivitet og hendelser

  • Etablere dedikerte planer for opprettholdelse av drift, krise- og beredskapsplaner samt gjenopprettingsplaner med krav til årlig testing (skal inkludere alle støttefunksjoner)

  • Etablere en sikkerhetskultur med mekanismer for læring og utvikling, basert på trusseletterretning samt eksterne og interne IKT-hendelser. 

    Les mer om hvordan vi kan hjelpe deg

Hendelsesrapportering

Det stilles krav til etablering av rapporteringsrutiner, herunder:

  • Utvikle en strømlinjeformet prosess for å logge og klassifisere alle IKT-hendelser. Dette innebærer å avgjøre hvilke hendelser som skal regnes som “alvorlige” i henhold til kriteriene beskrevet i DORA og nærmere spesifisering fra de europeiske tilsynsmyndighetene (ESA).
  • Rapportere på IKT-hendelser i start-, mellom- og sluttfasen av hendelsen. Harmonisere rapporteringen av IKT-relaterte hendelser gjennom bruk av malverk utviklet av ESA.

Testing av motstandsdyktighet

Det stilles krav til:

  • Å identifisere, mitigere og omgående eliminere svakheter, mangler og hull i IKT-systemenes motstandsdyktighet

  • Gjennomføre årlig grunnleggende test av IKT-systemer og verktøy

  • Periodisk (minimum hvert 3. år) utføre avansert Threat-Led Penetration Testing (TLPT) for IKT-tjenester som omfatter virksomhetens kritiske funksjoner

  • Tredjepartsleverandører av IKT-tjenester om å samarbeide og delta i testaktivitetene

  • Bruk av pålitelige og kompetente testere

     Les mer om hvordan vi kan hjelpe deg med etisk hacking

Risikostyring av IKT-tredjeparter

  • Sikre overvåkning av risikoer knyttet til avhengighet av IKT-tredjepartsleverandører

  • Harmonisere sentrale elementer av tjenestene og samarbeidene med tredjeparts IKT-leverandører for å muliggjøre en helhetlig overvåkning av alle tjeneste de leverer

  • Utarbeide og rapportere et komplett register over utkontrakterte aktiviteter, inkludert interne tjenester og endringer i utkontraktering av kritiske tjenester til IKT-leverandører

  • Ihensynta risikoen forbundet med IKT-konsentrasjon og risiko som oppstår ved utkontraktering til underleverandører

  • Sørge for at kontraktene med IKT-leverandører inneholder alle nødvendige overvåkings- og tilgjengelighetsdetaljer

  • Kritiske IKT-leverandører vil være underlagt et tilsynsrammeverk fra EU. Her kan det gis anbefalinger om risikoreduserende tiltak for identifiserte IKT-risikoer. Finansielle virksomheter må hensynta risikoen det innebærer å bruke IKT tredjepartsleverandører som ikke følger de definerte anbefalingene.

Les om hvordan vi kan hjelpe deg med tredjepartsattestasjoner

Informasjonsdeling

Ordninger for utveksling av trusseletterretning.
Samarbeid mellom pålitelige fellesskap av finansielle enheter.
Mekanismer for å analysere og agere på delt informasjon.

 

Dette bør du gjøre for å bli klar for DORA innen 2025:

Forstå hva som kreves

Ha workshops og sørg for kompetanseheving og opplæring. Lag en konsekvensanalyse.

Lag modenhetsanalyse

Gjennomfør nedenfra og opp modenhetsvurdering basert på guidede intervjuer og dokumentbasert analyse,og ovenfra-ned strategisk planlegging for å definere veien videre.

< Tilbake

< Tilbake
[+] Les mer

Lag et veikart

Prioriter tiltak/anbefalinger, og utvikle et DORA-rammeverk som passer til formålet. Vurder optimalisering og effektivisering av prosesser.

Interne verktøy og tekniske løsninger

Sørg for alt fra strategisk til operasjonell konseptualisering til teknisk realisering.

< Tilbake

< Tilbake
[+] Les mer

Dette er metodikken som kan brukes ved modenhetsanalyse: 

Avtaler, avklaring rundt intervju og deling av dokumentasjon. Planlegging og tidslinje. Diskusjon rundt eksterne, interne og regulatoriske krav.

PwC innhenter data og informasjon som grunnlag for analyse og gjennomfører dokumentgjennomgang. PwC gjennomfører intervjuer med nøkkelressurser for å forstå virksomhetens modenhet, interne/eksterne krav og implementerte kontroller.

Analyse av informasjon innhentet i intervjuer og dokumentasjon. Vurdering av modenhet opp mot DORA,  trussellandskapet til virksomheten og eksisterende internkontroll. PwC utarbeider en strukturert rapport basert på innsamlet og evaluert informasjon.

 

Rapport forankres med nøkkelressurser, revisjonsutvalg og andre interessenter.  Vi legger til rette for et avsluttende møte med overlevering av endelig rapport.

 

Bøter opp til 50 millioner kroner

Administrative sanksjoner er ett av områdene med mulighet for nasjonal tilpasning. Her foreslår Finanstilsynet at det legges inn en bestemmelse i DORA-loven om at overtredelse av lovens bestemmelser kan sanksjoneres med overtredelsesgebyr. De foreslår en øvre grense på 50 millioner kroner per gebyr.

Klassifisering av kritiske IKT-leverandører

Klassifiseringen av hvem som er kritiske IKT-leverandører vil gjøres av European Security Agency (ESA). En liste over hvem som omfattes vil publiseres årlig. Forordningen fastsetter kriterier for å bli klassifisert som "kritisk IKT-leverandør". Klassifiseringen tar hensyn til faktorer som antallet viktige institusjoner som er avhengig av leverandøren, konsekvensene av driftsavbrudd, og tjenesteleverandørens erstattbarhet. Det er avgjørende for norske virksomheter å forstå klassifiseringen og de spesifikke kravene knyttet til ulike kategorier av IKT-leverandører. Kritiske IKT-leverandører kan få tilsyn én måned etter klassifisering eller tidligere. Tjenesteleverandører som ikke havner på ESAs liste kan søke om å bli klassifisert som “kritisk”. Dette viser at bedriften har en cybersikkerhetsmodenhet, noe som kan gi konkurransefortrinn.

Vi kan hjelpe deg med beste praksis!

Implementering og etterlevelse av DORA kan være komplekst og vil kreve betydelig ekspertise. Vi i PwC har spesialiserte rådgivere som kan støtte ditt arbeid mot å bli DORA compliant. En grundig forståelse av regelverket og  tilpasning av interne prosesser og systemer vil være avgjørende for å oppnå tilstrekkelig digital motstandskraft og oppfylle de nødvendige kravene. Med PwCs egenutviklede plattform for modenhetsvurderinger, Connected Risk Engine, sikrer vi at evalueringene til enhver tid gjennomføres i henhold til siste oppdateringer av DORA. I tillegg vil din løsning sammenlignes med beste praksis fra andre lignende virksomheter. Ved å kombinere vår ekspertise med din grundige kjennskap til bedriftens systemer og prosesser legger vi til rette for en smidig implementering av DORA.

– Vår anbefaling er at DORA bør være en utløsende faktor for å starte eller forbedre organisasjonens motstandsdyktighet overfor cyberangrep og andre risikoer.

Margrethe Rønning, cyberekspert.

Vil du vite mer om våre tjenester?

Vi kan hjelpe deg med alt fra DORA, NIS2 til GRC, penetrasjonstesting og tilgangsstyring.

Les mer

Vi vil gjerne høre fra deg!

Vi hjelper deg gjerne med DORA i din bedrift.

Kontakt oss

Margrethe Rønning

Direktør | Cyber Trust Advisory, PwC Norway

Kontakt meg

Lars Erik Fjørtoft

Partner | Leder for Risk Services, Oslo, PwC Norway

974 74 469

Kontakt meg