DORA implementers i EU: – Norge ligger godt an

I dag, fredag 17. januar, trer DORA (Digital Operational Resilience Act) i kraft i Europa. Forordningen er et felleseuropeisk regelverk og krav til finansnæringens håndtering og vurdering av IKT-risiko, og vil etter alle solemerker komme til Norge tidligst til sommeren.

Forordningen har til hensikt å tilrettelegge for innovasjon og fremskritt, samtidig som den skal sikre forbrukersikkerhet. Ansvaret for IKT-sikkerhet plasseres tydelig hos ledelsen i selskapene, som også får klar beskjed om hva man skal ha oversikt over. Til tross for at implementeringen lar vente på seg i Norge, tror man i Finans Norge at medlemmene er klare.

– Jeg tror vi ligger godt an, hvert fall som jeg opplever det. Det er mange som fortsatt jobber aktivt med DORA, men når jeg snakker med kolleger fra andre land, føler jeg at Norge ligger godt an, sier fagdirektør cybersikkerhet Pål Christian Waag i Finans Norge til BankShift.

DORA er en forordning som på norsk handler om operasjonell motstandskraft, og Finans Norge oppsummerer forordningens mål med følgende punkter: 

• Kodifisere finansinstitusjoners håndtering av IKT-risiko.
• Sikre et felles nivå på IKT-sikkerhet i finanssektoren.
• Tydeliggjøre at selskapets ledende organer må være kompetente og har ansvaret for håndtering av IKT-risiko. Heve kompetansen også hos tilsynsmyndigheter.
• Skape en infrastruktur for å utbytte informasjon om IKT-hendelser.
• Tydeliggjøre og harmonisere krav til tredjepartsleverandører.

Ny veileder

Finans Norge holder et seminar for sine medlemmer i dag, der blant annet en veileder vil bli presentert. Waag forteller til BankShift at foreløpig målsetting er å ha klar veilederen 17. februar. 

– Det er allerede god leverandørstyring i Norge, noe vi tror blir en viktig pilar i fremtiden, og som tilsynet vil være opptatt av. Derfor jobber vi nå med å komme med en veileder på leverandørstyring. DORA stiller krav til kontrakter og oppfølging, som igjen er avhengig av leverandørens grad hos bedriftene.

– Kravene kommer i flere former og farger som igjen betyr enormt med arbeid. Med veilederen vil vi harmonisere kravene som blir stilt, sånn at vi kan hjelpe medlemmene å gjøre gode vurderinger, og gjøre det tydelig for leverandørene så de vet hva som stilles av krav fra den andre siden, sånn at det blir mindre arbeid, sier Waag.

Strengere og mer detaljert

DORA stiller strengere krav til ledelsen i selskapene som treffes, og påpeker at ledelsen må definere, godkjenne, kontrollere og ta ansvar for implementering av tiltak som påvirker IKT-risiko i institusjonene, og etablere klare roller innad i bedriften.

Risiko og regler rundt tredjepartsleverandører har detaljerte føringer for kontraktsinngåelse og serviceavtaler, som skal gi bedre utgangspunkt for vurdering av faktisk risiko. Dette vil også gjøre det enklere for tredjepartsselskaper å forstå innsyn og vurdering fra finansinstitusjonene.

Det er minimumskrav på viktige faktorer som skal muliggjøre overvåkning av IKT-risiko når det gjelder å inngå, levere, avslutte og etterbehandle avtaler med tredjeparts IKT-leverandører.

Det legges også til rette for informasjonsdeling innad i informasjonshuber, som for eksempel i Nordic Financial CERT, som Norge har brukt i en lengre periode allerede.

Intensjonen med DORA

Forordningen implementeres på bakgrunn av at finansbransjen møter nye utfordringer innenfor beskyttelse av data- og cybersikkerhet, samtidig som avhengigheten av tilgang til ulike data i næringens tjenesteproduksjon øker. Og det er Waag glad for.

– Vi mener at hensikten med DORA er veldig bra. Vi er veldig tydelig på at intensjonen til DORA er nødvendig og viktig i den tiden vi står i nå. Vi har også forholdt oss til IKT-forskriften og retningslinjer fra EIOPA tidligere, så sånn sett er ikke dette noe nytt, men detaljgraden er ny, sier Waag.

Fagdirektøren for cybersikkerhet husker ikke hvem som sammenlignet DORAs grad av detaljer med tidligere retningslinjer, men gjengir det han syns var passende:

– Nå tar det to minutter å gå gjennom forskriften, mens med DORA tar det to måneder. Så vi må passe på at vi dekker noen gap der, sier han.

Finans Norge har over en lengre periode hatt et arbeidslag som har jobbet med DORA, og Waag tror man har kommet frem til hvordan man blir nødt til å se på forordningen, for å kunne implementere den på best mulig måte.

– Det handler om å holde seg til intensjonen. Vi skal ikke lage det til en compliance-øvelse, men dette skal bidra til kulturendring hos organisasjonen. Det er det som er intensjonen, og det er det vi må få til om vi skal lykkes. DORA vil treffe hele bedriften, så vi må implementere kravene i allerede eksisterende, styrende dokumenter, sier Waag.