Antallet oppdagede trusler økte med 55% i 2022. Dette viser behovet for mer proaktiv og harmonisert EU-regulering. DORA er en nøkkel for sikker digital innovasjon av alle finansielle tjenester.
Motstandskraft i fokus
Det store antallet angrep betyr at det rett og slett ikke er nok bare å prøve å beskytte seg selv. En helhetlig, testet og dokumentert tilnærming er nødvendig. Dette innebærer å være forberedt på en hendelse, vite hva og hvor man skal rapportere en hendelse, få tjenestene sine i gang igjen etter at en hendelse inntreffer og også dokumentere disse rutinene og prosessene.
For de fleste aktørene i finanssektoren er det meste som trengs allerede på plass. Utfordringen nå er å delegere ressurser og få alle funksjoner til å fungere sammen.
Fem hovedområder
For å etterleve DORA må finansaktører dokumentere at de oppfyller kravene for fem hovedområder:
- Risikostyring
DORA krever robuste IT-systemer og verktøy, sammen med evnen til å identifisere, klassifisere og dokumentere tiltak for å redusere risiko. Alle aktører må kunne svare på angrep, gjenvinne kontrollen, gjenopprette driften, lære av hendelsene og forbedre seg.
- Håndtering av IT-hendelser
For å være forberedt på hendelser, må aktører ha en dokumentert og testet hendelseshåndteringsprosess på plass. Med rutiner for klassifisering av hendelser og fokus på gjennomgang og analyse av bakenforliggende årsaker etter hendelsen. Man må også ha rutiner for rapportering av IT-relaterte hendelser til ansvarlige myndigheter. - Realistisk testing av tekniske tiltak, rutiner og planverk
Aktører må teste sin motstandskraft, ved å bruke en risikobasert tilnærming. De må utføre realistiske og passende tester, inkludert avansert penetrasjonstesting utført av tredjepart. - Tredjeparts-risiko
Overvåking av tredjeparts IT-risiko blir obligatorisk. Det vil bli viktig å dokumentere oversikt over tredjeparts risikohåndtering og sørge for varsling ved sikkerhetshendelser hos tredjepart. Man må også dokumentere at avtaler inneholder sikkerhetskrav tredjepart må oppfylle, og hvordan man skal revidere at parten følger disse opp. - Rapportering og deling av informasjon
Alle aktører trenger rutiner for rapportering av hendelser, både internt og for utveksling med andre finansielle foretak.
For at vi skal kunne oppfylle kravene innenfor disse områdene, må en god styringsmodell for cybersikkerhet være på plass.
Begynn å planlegge arbeidet nå
Januar 2025 kan virke langt unna, men skal man etterleve DORA i tide, er det viktig å planlegge arbeidet nå. Det å kartlegge det man allerede har, finne ut hvor langt det er til mål, og hvordan man skal komme dit for å unngå å starte i feil retning, er veldig viktig. Det er heller ingen skam i å be om hjelp fra tredjepart.
Gjennom vår NanoLearning-plattform tilbyr Junglemap økt sikkerhetsbevissthet som en tjeneste, noe som kan være nyttig når informasjonssikkerhetsopplæring blir obligatorisk for forskjellige roller i foretakene. Med våre standard informasjonssikkerhetskurs for alle ansatte og ledere, samt rollebaserte kurs rettet mot produkt- og utviklingsteam, håper vi å bidra med et viktig verktøy for alle organisasjoner som jobber med sin motstandskraft innen informasjonssikkerhet.
