Nå nærmer det seg - er din virksomhet klar for DORA?

Vi står på terskelen til en viktig utvikling innen IKT-sikkerhet i finanssektoren. Regjeringen la i februar frem lovproposisjonen for norsk implementering av Digital Operational Resilience Act (DORA) gjennom lov om digital operasjonell motstandsdyktighet (DORA-loven), og før påske sendte Finansdepartementet forskrift til DORA-loven ut på høring. Når loven vil tre i kraft, er imidlertid fortsatt uvisst.

Mange foretak som er omfattet av det nye regelverket er allerede godt i gang med forberedelsene, men fortvil ikke om du ligger etter - det er ikke for sent.

Styrkede krav under DORA

Den kommende implementeringen av DORA i norsk rett vil medføre en styrking av kravene til IKT-sikkerhet for aktørene i den norske finanssektoren.

Spesielt stiller DORA krav til foretakene innenfor følgende områder:

1. IKT-risikostyring: Forordningen krever at foretakene har robuste systemer på plass for å identifisere, evaluere og mitigere risikoer knyttet til IKT.
2. Håndtering og rapportering av IKT-hendelser: Foretak må melde alvorlige hendelser til myndighetene på en strukturert måte.
3. Testing av digital operasjonell motstandsdyktighet: Foretakene må regelmessig teste IKT-systemers evne til å motstå og håndtere digitale angrep og hendelser.
4. Bruk av IKT-leverandører: Forordningen stiller krav til innhold i kontrakter med og evaluering av IKT-tjenester fra leverandører for å sikre forsvarlig styring av tredjepartsrisiko.
5. Informasjonsdeling: Det etableres systemer for utveksling av informasjon om cybertrusler og sårbarheter mellom enheter og myndigheter.

Hva bør din vikrsomhet gjøre for å bli klar?

Svært mange av foretakene som underlegges kravene i DORA, er allerede underlagt IKT-forskriften. DORA-forordningen krever ikke at disse foretakene innfører et helt nytt sikkerhetsregime, men at de videreutvikler og forbedrer den nåværende strukturen for å møte de nye kravene. Langt på vei bygger DORA på de samme prinsippene som IKT-forskriften. Nivå 2 og 3- regelverkene i form av (RTS og ITS) innfører imidlertid langt mer detaljerte krav, særlig knyttet til risikostyring, hendelseshåndtering og oppfølging og bruk av IKT-tjenesteleverandører. Foretakene bør derfor fokusere på å styrke og forbedre eksisterende rutiner, policyer og prosesser.

For foretak som ikke er underlagt IKT-forskriften, vil implementeringen av DORA kunne kreve betydelig med tid og ressurser. Dette inkluderer blant annet forvaltere av alternative investeringsfond. For disse foretakene er det spesielt viktig å starte forberedelsene så snart som mulig.

Uansett hvilket utgangspunkt din virksomhet har, er det viktig at DORA-implementeringen ikke blir en skrivebordsøvelse, men at de tiltakene som iverksettes for etterlevelse, er relevante for din virksomhet og bidrar til reell bedring av den operasjonelle motstandsdyktigheten. Tiltakene skal tilpasses den enkelte virksomhet, også hensyntatt størrelse, art, omfang og kompleksitet.

Nedenfor har vi inntatt grunnleggende steg som etter vår oppfatning sørger for en helhetlig og effektiv etterlevelse av kravene i DORA.

Hvordan kan vi hjelpe deg med DORA-forberedelsene?

DORA-forordningen trådte i kraft i EU 17. januar i år. Selv om det fortsatt er usikkerhet rundt når forordningen vil tre i kraft i Norge, antydes en mulig ikrafttredelse allerede sommeren 2025. I forskriftsforslaget er det ikke lagt opp til overgangsordninger. Tvert imot fremheves viktigheten av at reglene ikke trer i kraft vesentlig senere enn i EU.

I CLP har vi ekspertise i finansregulatorisk regelverk. I tillegg har vi styrket vårt team med ekspertise fra praktisk arbeid innen IKT-sikkerhet og implementering av nytt regelverk innen IKT.

Vi bistår i alle steg av implementeringen, inkludert kartlegging av virkeområde og tolkning av regelverk, samt utarbeidelse av prosesser, policyer og rutiner for risikostyring. Vi hjelper også med revisjon og etablering av DORA-tilpassede kontrakter, og utvikling og implementering av robuste rammeverk for risiko- og virksomhetsstyring.