Finanstilsynet om Dora: – Vi forventer høy grad av etterlevelse fra dag én

17. januar trådte EU-direktivet Dora (Digital Operational Resilient Act) i samtlige EU-land. Det vil stille, kanskje ikke helt nye, men betydelig mer detaljerte krav til finansnæringens håndtering og vurdering av IKT-risiko.

Når Dora også begynner å gjelde for norske aktører er foreløpig ikke avklart. Finanstilsynet, som skal håndheve regelverket, har sagt at det i beste fall kan være på plass fra 1. juli i sommer.

– Det har vi sagt i dialog med næringen basert på de tidslinjer som er lagt, men det er ikke vi som styrer dem, så helt sikre kan vi ikke være, sier Olav Johannessen, seksjonsleder for tilsyn med  IT og betalingstjenester i Finanstilsynet.

BankShift møter ham for å få en oppdatering på tilsynets IKT-arbeid, hva Dora-direktivet vil bety, hva som er nytt og hva de forventer av aktørene som må forholde seg til det.

Det skal vi komme tilbake til, men vi begynner med et litt større bilde.

Et bilde som på en måte viser at det står ganske så bra til med den finansielle sikkerheten, selv om tilsynet mener trusselbildet er på et stabilt høyt nivå.

«Må steppe opp på flere områder»

I den siste ROS-rapporten (Risiko- og sårbarhetanalyse 2024) fra mai i fjor, konstateres at «foretakenes IKT-tjenester synes å være godt beskyttet mot angrep» og at det i 2023 ikke var noen «IKT-hendelser med konsekvenser for finansiell stabilitet».

–  Det er ikke slik at hendelser trenger å være en konsekvens av dårlig arbeid, eller at mangel på hendelser er en konsekvens av godt arbeid, sier Johannessen og fortsetter:

–  I rapporten kommer det også tydelig frem at tilsynet mener foretakene på flere områder har behov for å stramme opp og steppe opp sitt arbeid for å ha den styring og kontrollen med IKT-virksomheten som vi forventer at de skal ha.

Må ha kontroll over IT

De finnes de som mener at banker og finansforetak i dag er for IT-selskaper å regne, og at Finanstilsynet kanskje ikke lenger er den rette kontrollinstansen for IT-relaterte spørsmål. Men at finansielle foretak er avhengige av IT for å kunne fungere, er ikke akkurat noe nytt mener Johannessen. Og at tilsynet har tatt konsekvensen av det.

Hans egen avdeling har vokst fra 7 til 12 personer i løpet av de siste ti årene, noe som har ført til at antallet IKT-tilsyn også har blitt stadig flere.

–  Viktigheten av god styring og kontroll med IKT-virksomheten er like viktig som god styring og kontroll med kreditt og likviditet. Kanskje er det nesten viktigere, skulle IT-systemene være nede over en lang periode, hjelper det ikke hvor god kontroll foretakene har med de andre delene av virksomheten, sier han.

– Hva er den største utfordringen? Tid, penger, ressurser?

– Finanssynet blir styrt på budsjett med rammer. Vi må prøve å fordele våre ressurser best mulig på alt det vi driver med både i stort og på hvert enkelt område. For vår seksjon betyr det fokus på IKT-tilsyn med de foretakene som har størst betydning for finansiell stabilitet og velfungerende markeder, sier Johannessen og legger til:

–  Det betyr ikke at mindre foretak skal føle seg trygge på at vi ikke kommer på tilsyn.

Sliter mest med styring og kontroll

– Hva er de vanligste utfordringene? Hva er finansforetakene dårligst på?

– Styring og kontroll er en tematikk som vært en gjenganger i flere år. Vi har blant annet pekt på dette med manglende gjennomføring av business impact-analyser, altså analyser av virksomheten, hva som er kritisk og ikke kritisk.

I ROS-rapporten oppsummeres Finanstilsynet vurdering av de største sårbarhetene i finansforetakenes IKT-virksomhet. At bankene og andre foretak ikke har orden på forsvaret mot digital kriminalitet blir sett på som den største trusselen fordi konsekvensene kan bli store.

Men sannsynligheten for at noe alvorlig kan skje blir faktisk vurdert til å være noe mer utbredt på området leverandørstyring. Styringsmodeller, internkontroll og tilgangsstyring er områder der risikoen for at noe skjer blir bedømt som middels til høy.

– Betyr ikke det at Dora vil bidra til å øke bevisstheten om de ting som dere allerede ser på en utfordring?

– Når Dora-regelverket blir tydeligere og mer detaljert, forventer vi at det også gir insentiver til foretakene til å steppe opp sitt arbeid på disse områdene vi har pekt på. Om det blir bedre, vet vi først når vi begynner å gjøre tilsyn etter Dora-regelverket.

Fra bør-og-kan til skal-og-må

– Hva blir den største forskjellen mellom dagens regler og Dora?

– Dagens IKT-forskrift er overordnet og prinsippbasert, mens Dora er veldig detaljert.  Inkludert de europeiske finanstilsynenes retningslinjer som supplerer IKT-forskriften, kan en si at vi går fra en verden hvor foretakene bør-og-kan gjøre noe til at de med Dora skal-og må gjøre noe.

– Men det er en del nye forhold som kommer med Dora. For eksempel oversight på tredjepartsløverandører og krav til trusselbasert penetrasjonstesting.  

– Hvordan påvirker det tilsynets arbeid?

–  Det blir nok ikke så stor forskjell på hva vi går inn og ser på i en virksomhet. Vi tror vi har på plass det meste i de tilsynsmoduler og -rammeverk vi har etablert, sier Johannessen og forklarer at både disse og Dora er bygget på det amerikanske rammeverket NIST (som ikke skal forveksles med EU-regelverket NIS.)

Ikke noe pause i Dora-arbeidet

– Nå er Dora innført i EU, mens dere venter på klarsignal. Betyr det at det er litt pause i arbeidet akkurat nå?

–  Ikke i det hele tatt. Når Dora trer i kraft, må vi være godt forberedt fra dag én. For å være det, må vi ha gjort mye av jobben i god tid i forkant. Regelverket er heller ikke fastsatt på alle områder. Det kommer først når lov om digital operasjonell motstandsdyktighet i finanssektoren blir fremmet som proposisjon.

– Kan det komme noen sene overraskelser?

– Det ligger få nasjonale valg i Dora. Så det vil ikke skape de helt store overraskelsene. Men det ligger noen temaer i Dora som ikke har noen formkrav eller tidsfristskrav, og som ikke er fastsatt.

– Hva med selve tilsynsvirksomheten? Er det noe poeng å gjennomføre tilsyn basert på gamle regler?

– Det er ikke planlagt færre IKT-tilsyn på grunn av at det skjer en overgang. Vi tok ned antall planlagt tilsyn i fjor, fordi vi jobbet mye med Dora, likevel ble det flere enn vi hadde planlagt. Det kan skje i år også.

– Så snart Dora trer i kraft, er det naturlig at Dora vil ligge til grunn for tilsynene. Det betyr at datoen for når regelverket trer i kraft i Norge har betydning for hvordan vi planlegger tilsynene våre.

Foretakene bør ha tatt dette inn over seg

– Så finansforetakene må være forberedt på at det kan bli tilsyn relativt raskt etter at Dora er på plass?

–  Vi forventer høy grad av etterlevelse fra dag én. Basert på at det er et kjent regelverk, uten særlig valgmuligheter, bør foretakene ha tatt dette inn over seg og ha forberedt seg godt.

– Det er ikke snakk om noen overgangsfaser, men samtidig hadde vi nok ikke, hvis vi hadde vært med i EU, gått på tilsyn på mandagen når regelverket begynte å gjelde på fredagen.

Avventer kulturendringsresultat 

– Da Finans Norge arrangerte seminar om Dora, samme dag som regelverket begynte å gjelde i EU, ble det poengtert at man må bruke endringen til å få til en kulturendring i måten man arbeider med IKT-risiko og at det er viktig at det ikke ender opp som punkter som hukes av på en liste. Med tanke på at Dora er veldig detaljert er det ikke lett at det kan ende slik når foretakene får krav de MÅ forholde seg til?

–  Det er klart ar jo mer detaljert et regelverk blir, jo lettere er det å ende opp med slike avhukingslister.

–  Når det gjelder kulturendring er vi kjent med at Finans Norge har satt i gang et initiativ litt uavhengig av Dora, men hvor Dora har vært en drivkraft til å starte dette arbeidet. Dette er et arbeid kanskje Finans Norge kunne ha startet med for mange år siden, uavhengig av Dora, sier Johannessen og fortsetter:

–  Hvordan kulturskiftet egentlig blir, vil vi ikke oppdage før vi har begynt å gjennomføre tilsyn.