DORA-forordningen (Digital Operational Resilience Act) er en europæisk regulering, der sigter mod at styrke den digitale operationelle modstandsdygtighed i den finansielle sektor. Den fokuserer på at håndtere cyber- og it-risici i lyset af den digitale transformation. Forordningen, som træder i kraft i 2025, kræver, at finansielle institutioner kan modstå, reagere på og komme sig over it-relaterede hændelser. Den omfatter nøgleområder som it-risikostyring, hændelseshåndtering, test af digital modstandsdygtighed, tredjepartsrisikostyring og deling af information om cybertrusler. Læs mere om DORA-forordningen her.
Med den fortsatte digitalisering af finansielle tjenester står virksomheder over for stadig nye udfordringer knyttet til reguleringer. Her er DORA-forordningen et vigtigt rammeværk, som styrker og standardiserer virksomheder i den finansielle sektors it-sikkerhed, teknologiske udvikling, finansielle stabilitet, forbrugerbeskyttelse samt øger modstandsdygtigheden over for forestående cyber- og informationssikkerhedshændelser. I det følgende vil vi tage udgangspunkt i de ti mest essentielle udfordringer, som virksomheder skal håndtere for effektivt og succesfuldt at overholde kravene i DORA-forordningen. De udvalgte udfordringer tjener som benchmarks, der kan tilpasses til virksomheders specifikke behov. Vi sigter mod at gøre DORA til en mulighed for virksomheder inden for den finansielle sektor, snarere end en yderligere regulatorisk byrde.
DORA markerer en betydelig ændring i forhold til tidligere retningslinjer, hvilket udgør den første nøgleudfordring. Reguleringen forener tidligere vejledninger og internationale standarder inden for cybermodstandsdygtighed og IKT-risikostyring (Information, Kommunikation, Teknologi) som et nyt begreb, hvilket skaber større konsistens og klarhed. Denne sammenslutning adresserer den tidligere fragmentering og de forskelligartede fortolkninger på tværs af Europa. Med indførelsen af DORA forventes finansielle virksomheder nu at bygge videre på deres eksisterende arbejde inden for risikostyring, cybersikkerhed og forretningskontinuitet.
Forordningen skal implementeres i EU-medlemsstaterne senest den 17 januar 2025, hvor forordningen finder anvendelse. Den baserer sig på principperne om konvergens, proportionalitet og 'security by design'. Konvergens sikrer en fælles forståelse og tilgang i hele Europa, mens proportionalitetsprincippet indebærer, at kravene skal tilpasses virksomhedernes størrelse og risikoprofil. 'Security by design' integrerer sikkerhedstænkning fra designfasen af produkter og tjenester. Finansielle institutioner skal derfor tilpasse og styrke deres risikostyringsstrategier for at opfylde DORA-kravene, hvilket i sidste ende vil bidrage til en stærkere og mere sikker finanssektor.
Succes med implementeringen af DORA kræver hurtig handling. Selvom der er blevet givet to år til at virksomhederne kan forberede sig, så er det i praksis ikke særlig lang tid. Selvom samtlige elementer af DORA-forordningen ikke er officielle endnu, så er det nødvendigt at påbegynde forberedelserne. Det indebærer blandt andet en gap-analyse mellem virksomhedens nuværende system og DORA's forventninger. Dette kræver en handlingsplan, der tager højde for virksomhedens specifikke kontekst og risici. Arbejdet kræver en tydelig og stærk ledelse samt en tidlig indsats for at sikre overholdelse af DORA's frister og krav
En essentiel udfordring i den nye regulering er at etablere en omfattende styring. Formålet er at sikre digital operationel robusthed. Finansielle virksomheder står over for at skulle nedbryde den barriere, der tidligere eksisterede mellem it, cybersikkerhed, tredjeparts- og forretningskontinuitetsrisikostyring. Dette repræsenterer en væsentlig ændring, da mange tidligere primært fokuserede på forretningskontinuitetsplaner, der ikke tog højde for cyberrisici. Det er ledelsens ansvar at formulere en strategi for digital forretningsrobusthed, godkende politikker og planer for kontinuitet i IKT-forretningen, gennemgå IKT-revisioner og evaluere hændelser.
For at imødekomme udfordringerne er det nødvendigt at revidere virksomhedens governance med henblik på at sikre en digital operationel robusthed, samtidig med at man opretholder en 3 lines of defence forsvarsmodel. IKT-risikostyringsrammen skal dokumenteres og revideres mindst én gang om året.
Operationel robusthed berører meget bredere udfordringer end blot IT-sikkerhed. IT bør ikke ses som den eneste interessent af DORA-forordningen, da det er en mere omfattende risikoudfordring. Dette er et strategisk emne, der skal behandles som sådan, på strategisk niveau, på ledelsesniveau, med støtte fra virksomhedens øverste ledelse. Udover IT- og cybersikkerhedschefer skal mange andre funktioner gøres opmærksomme på emnet og inddrages i projektet, først og fremmest virksomhedens øverste ledelse. "Den største udfordring vil være at koordinere handlinger med de vigtigste interessenter involveret. Dette kræver styrkelse af styringen og kan kun opnås ved at inddrage virksomhedens øverste ledelse," understreger Karine Pariente, Partner hos PwC France. Da dette er en operationel risikoudfordring, har de fleste markedsaktører generelt placeret emnet på niveau med Risiko- eller Compliance-afdelingen, med betydelige bidrag fra IT-afdelingen, sikkerhedscheferne, teams for forretningskontinuitet, indkøb og juridiske afdelinger (vedrørende serviceaftaler med tredjeparter). DORA-compliance skal involvere alle interessenter: forretningsområdet, risikostyring, IT-drift og cybersikkerhed.
I arbejdet med at efterleve DORA-forordningen er det afgørende at påbegynde arbejdet nu for at overholde reglerne og følge med i udviklingen af de tekniske regulerings- og implementeringsstandarder. DORA er knyttet til NIS2-forordningen, som trådte i kraft den 16. januar 2023. Dette direktiv fastsætter en fælles ramme i EU for minimumskrav til cybersikkerhed. Med NIS2's udvidede anvendelsesområde til alle mellemstore og store virksomheder, er det essentielt at have et helhedssyn på både DORA og NIS2.
DORA fungerer som en speciallov for den finansielle sektor med hensyn til krav til risikostyring og indberetning af hændelser inden for cybersikkerhed. Derudover, er det også vigtigt at forholde sig til andre igangværende lovgivningsinitiativer inden for cybersikkerhed. Dette inkluderer cybersikkerhedsforordningen fra 2019 og den foreslåede Cyber Resilience Act fra 2022, som begge spiller en rolle i styrkelsen af IKT-aktivers sikkerhed. Samlet set skaber disse initiativer et komplekst landskab, hvor virksomhederne skal navigere hurtigt og effektivt for at sikre overensstemmelse og beskyttelse mod cyberrisici.
For de mere modne finansielle enheder, som allerede har investeret betydeligt i nuværende regler for IT-risikostyring, cybersikkerhed og tredjepartsstyring, vil overgangen til DORA måske kræve mindre justering. Fokus ligger på udviklingen af en holistisk vision gennem en digital operationel modstandsdygtighedsstrategi og dybdegående krav. For disse virksomheder vil DORA's indvirkning variere afhængigt af, hvor integreret modstandsdygtighed er i risikostyringen og i ledelsen.
For de mindre modne finansielle virksomheder kan den nye regulering dog udgøre en reel udfordring. Det skyldes, at de skal udstyres til at overvåge risici holistisk og etablere et rapporteringssystem – både strategisk og ledelsesmæssigt. Implementeringen af DORA kræver således en tværgående tilgang i organisationen, hvilket er afgørende for at sikre modstandsdygtighed og overholdelse af reglerne.
Med DORA medfølger der også regler, der har til hensigt at fremme informationsdeling mellem finansielle organisationer. Det vil være fordelagtigt for alle interessenter at videndele på tværs med henblik på at forbedre alles modstandsdygtighed overfor cybertrusler. Denne informationsdeling kræver et sikkert og troværdigt rammeværk for udvekslinger og informationer til myndighederne om aftaler indgået mellem finansielle organisationer, tredjeparter og myndigheder.
I de senere år har finansielle organisationer i stigende grad outsourcet IT-tjenester, ofte med en ubalance i kontraktforholdet, især for mindre finansielle organisationer. Med DORA indføres en klar lovramme for tilsynet med kritiske IT-tjenesteudbydere, som giver finansielle organisationer større sikkerhed. Implementeringen af standardkontraktbestemmelser, herunder klausuler om ophør og exitstrategier, vil føre til en standardisering af kontrakter med IT-tjenesteudbydere. DORA skaber et ensartet rammeværk for håndtering af tredjeparter, hvilket styrker hele værdikæden og forbedrer den samlede modstandsdygtighed i den finansielle sektor.
De nye krav om tredjepartsrisiko vil tvinge udbydere til at give information til deres kunder og muliggøre opfølgning fra tilsynsmyndighederne. Dette vil skabe en konkurrencefordel for dem, der overholder reglerne, og forventes at føre til en generel forbedring i relationerne mellem alle markedsaktørerne. Derudover kan der forventes en bedre tilpasning af IT-tjenesteudbydernes ydelser til den finansielle sektors specifikke behov. Proportionalitetsprincippet i håndteringen af tredjeparter er også vigtigt, idet indsatsen for hver tjenesteudbyder skal bestemmes baseret på forskellige kriterier.
En nøgleudfordring i DORA-forordningen er at teste finansielle virksomheders digitale operationelle modstandsdygtighed under reelle forhold for at identificere mangler og potentielle fejl. Finansielle organisationer skal definere, vedligeholde og gennemgå et omfattende testprogram for digital operationel modstandsdygtighed. Programmet bør regelmæssigt vurdere IKT-kapaciteter og sikkerhed i tilfælde af cyberhændelser. Kravene til gennemførelse af test af modstandsdygtighed er baseret på organisationernes størrelse, aktivitet og risikoprofil. Alle finansielle organisationer skal teste deres IKT-værktøjer og -systemer.
En af de største udfordringer ved implementeringen af DORA ligger i overgangen til den nye kultur. For at sikre robustheden af det finansielle system er det essentielt, at organisationerne kan håndtere alle typer af IKT-relaterede hændelser. Selvom mange virksomheder har forbedret deres styring af cyberrisici, er det kun et udgangspunkt. DORA kræver, at der arbejdes på tværs af funktioner for at forstå og udvikle en kultur for operationel modstandsdygtighed.
Vores team af specialister er klar til at assistere jer i håndteringen af DORA's regelsæt, herunder at efterleve både danske og internationale bestemmelser om operationel robusthed og IKT-sikkerhed, for at styrke jeres virksomheds modstandsdygtighed over for cyberhændelser.
Morten Friis
Morten Hofmann