.png)
Lagen om digital operativ motståndskraft (DORA) är EU:s lag om digital operativ motståndskraft för finansiella enheter. DORA syftar till att uppnå en enhetlig hög nivå av digital motståndskraft i hela EU. I lagen fastställs enhetliga krav för informationsnätverk och system som stöder finansiella affärsprocesser.
DORA föreskriver omfattande krav på skydd, upptäckt, isolering, återställning och avhjälpande åtgärder när en säkerhetsincident inträffar. Dessutom omfattar ramverket grundlig risk- och incidenthantering, delning av cyberhot och sårbarheter, bestämmelser om motståndskraftstestning och skyldigheten att rapportera incidenter till berörda myndigheter.
Vi har publicerat DORA:s kravramverk för Cyberday hösten 2024 - du kan aktivera det från avsnittet "redigera ramverk" i Organisationens kontrollpanel. I den här bloggen kommer vi att ta en mer omfattande titt på vad DORA är och vad det innehåller, vem kravramverket faktiskt gäller för och ta en titt på hur DORA ser ut när det är inne i Cyberday. Så låt oss komma igång!
I takt med att det digitala landskapet fortsätter att expandera står finanssektorn inför ett ständigt tryck att skydda sig mot cyberhot. Här kommer Digital Operational Resilience Act in i bilden, ett lagstiftningsinitiativ som införts av Europeiska unionen för att stärka finansinstitutens cyberresiliens. DORA, som träder i kraft den 14 december 2022, innebär en grundläggande förändring av hur finansiella enheter måste hantera digitala hot.
DORA visar att finansinstitut måste fokusera på operativa risker, inte bara finansiella. DORA är inte bara ytterligare en regel att följa - det är en chans för finansföretag att stärka sitt digitala försvar. Genom att omsätta DORA i praktiken kan finansinstituten standardisera sina svar på IT-haverier eller cyberattacker, vilket gör det finansiella systemet starkare och mer motståndskraftigt.
Nedräkningen till DORA pågår, eftersom lagen ska vara i drift senast den 17 januari 2025. Samtidigt som organisationerna förbereder sig för att uppfylla dessa kritiska krav har de en viktig möjlighet att förfina och höja sina cybersäkerhetsåtgärder. Genom att inta en proaktiv hållning säkerställer de inte bara regelefterlevnad utan stärker också förtroendet och stabiliteten i den digitala terrängen. Att anamma DORA innebär att förstå dess detaljer och förbättra försvaret mot cyberhot.
DORA omfattar ett brett spektrum av finansiella enheter som är verksamma inom Europeiska unionen och även enheter utanför EU. Målet är att säkerställa att dessa enheter kan motstå, reagera på och återhämta sig från alla typer av störningar och hot inom informations- och kommunikationsteknik (IKT). Här är en mer detaljerad uppdelning av DORA:s omfattning:
DORA betonar inte bara skydd av teknisk infrastruktur utan även upprätthållande av digital operativ motståndskraft, vilket gör det avgörande för enheter att hantera både digitala hot och operativa risker. DORA gäller för ett brett spektrum av finansinstitut, inklusive men inte begränsat till:
DORA:s tillämpningsområde är brett, men det primära fokuset ligger på enheter som har en direkt eller betydande inverkan på EU:s finansiella system, så vissa mindre enheter eller finansiella institutioner som inte är kärnverksamhet kanske inte omfattas av kraven. Det kan t.ex. vara små och medelstora företag inom vissa finansiella sektorer som inte tillhör kärnverksamheten och som inte hanterar stora volymer känsliga finansiella uppgifter, och leverantörer av IKT-tjänster som erbjuder icke-kritiska tjänster eller tjänster som inte tillhör kärnverksamheten till den finansiella sektorn.
Förordningen är utformad för att säkerställa att alla dessa enheter har konsekventa cybersäkerhetsåtgärder, oavsett deras storlek eller karaktär, med fokus på deras operativa motståndskraft mot IKT-risker.
Digital Operational Resilience Act är ett regelverk från Europeiska unionen som fokuserar på att stärka cybersäkerheten och den operativa motståndskraften hos finansiella enheter inom EU. Även om DORA inte är ett cybersäkerhetsramverk i sig, innehåller det ett regelverk som integrerar delar av olika välkända cybersäkerhetsprinciper och -metoder. I grund och botten förbättrar DORA den digitala operativa motståndskraften inom finanssektorn. Men vilka specifika åtgärder vidtas för att uppnå detta?
Fastställer krav för hantering av risker inom informations- och kommunikationsteknik (IKT), inklusive inrättande av ramverk för styrning, genomförande av riskbedömningar och genomförande av kontroller för att minska identifierade risker.
Genom att anpassa finansinstitut och deras leverantörer till enhetliga standarder och krav som ISO 27001-standarden och NIST CSF stärks försvaret mot ett föränderligt hotlandskap. Denna konsekvens förenklar efterlevnaden och säkerställer att ingen institution lämnas exponerad för cyberrisker. Kapitel II består av ett brett tema och introducerar krav på informationssäkerhet i allmänhet. Några av de artiklar som ska lyftas fram är bland annat
Artikel 9a: Skydd: Denna artikel handlar specifikt om skydd av informationssystem; företag måste ständigt övervaka och kontrollera sina IKT-system för att garantera säkerhet, minimera risker och förbereda sig för det värsta. Åtgärderna kan t.ex. omfatta åtkomsthantering, kryptering av säkerhetskopierade data och fysiska skyddsåtgärder.
Artikel 9b: Förebyggande åtgärder: Eftersom den första delen handlar om skydd, beskriver den andra delen av artikel 9 kraven för finansiella enheter att skydda och förebygga risker för sina IKT-system. Åtgärder för att förebygga risker kan t.ex. omfatta fastställande av åtkomsträttigheter, medvetenhet hos personalen samt filhantering.
Finansiella enheter ska utarbeta och dokumentera en informationssäkerhetspolicy med regler för att skydda tillgängligheten, autenticiteten, integriteten och konfidentialiteten för data, informationstillgångar och IKT-tillgångar, inklusive deras kunders, i tillämpliga fall.
Artikel 10: Upptäckt: Finansiella enheter måste vidta åtgärder för att snabbt upptäcka eventuella problem eller sårbarheter i sina IKT-nätverk. Dessa mekanismer bör omfatta kontroller i flera lager, tydligt definierade tröskelvärden för varningar och automatiserade meddelanden för att stödja incidenthantering.
Kapitel III föreskriver ett standardiserat tillvägagångssätt för att rapportera betydande IKT-relaterade incidenter till de relevanta myndigheterna. Syftet är att säkerställa snabb och korrekt kommunikation av incidenter som kan påverka den finansiella stabiliteten eller konsumenterna.
DORA förbättrar incidenthanteringen genom att effektivisera rapporterings- och svarsprocesserna, vilket gör att företagen kan agera snabbt och effektivt.
Dora kräver regelbundna tester av ICT-systemens operativa motståndskraft, vilket kan innefatta sårbarhetsanalyser, penetrationstester och hotledda penetration stester (TLPT).
Att säkerställa att systemen är motståndskraftiga mot attacker är ett primärt fokus, och DORA kräver att enheter genomför rigorösa tester av digital operativ motståndskraft. Detta innebär regelbundna och grundliga utvärderingar för att validera effektiviteten i säkerhetsåtgärderna och säkerställa att svagheter identifieras och åtgärdas omedelbart.
Detta fokuserar på att hantera risker som är förknippade med tredjepartsleverantörer av ICT-tjänster. Det omfattar regler kring outsourcing, övervakning och riskbedömningar av tredjepartsrelationer samt att säkerställa att dessa leverantörer också följer principerna om säkerhet och motståndskraft.
DORA stärker riskhanteringen för tredje part genom att genomdriva strikt tillsyn och bedömning av ICT-leverantörer, säkerställa att outsourcade partners uppfyller samma säkerhetsstandarder och minska sårbarheterna i det sammankopplade finansiella ekosystemet.
Kapitel VI uppmuntrar finansiella enheter att dela hotbildsinformation och information om cyberhot, incidenter och sårbarheter inom sektorn, vilket främjar ett gemensamt försvar mot cyberrisker. Obligatoriskt informationsutbyte hjälper organisationer att lära sig av incidenter, minska effekterna och förhindra framtida händelser.
DORA har ett brett, riskbaserat tillvägagångssätt och kräver att enheter antar robusta cybersäkerhetsrutiner, som ligger väl i linje med globalt erkända ramverk som ISO 27001, NIST CSF och CIS Controls, samtidigt som de också tillgodoser finanssektorns specifika behov.
Som tidigare nämnts är DORA tillgängligt att arbeta med på Cyberday. På Cyberday består Dora av 5 klausuler och 42 krav som är uppdelade i prioriterade policyer och uppgifter. På Cyberday hittar du också många andra ramverk som nämns i den här bloggen, till exempel ISO 27001-standarden och NIST-ramverket för cybersäkerhet. Du kan därför arbeta med DORA i sin egen rätt, eller i kombination med andra tillgängliga ramverk. Om du inte har haft möjlighet att prova Cyberday ännu kan du göra en kostnadsfri 14-dagars testperiod här.
DORA fungerar både som en regleringsguide och en samarbetsstandard som förenar finanssektorns processer för att hantera gemensamma utmaningar inom digital resiliens. Dess tydliga riktlinjer för riskhantering, incidentrapportering och tester av motståndskraft gör det möjligt för organisationer av alla storlekar att hantera cybersäkerhet med tillförsikt, vilket främjar ett proaktivt och konsekvent försvar mot föränderliga hot.
I slutändan fastställer DORA inte bara riktlinjer, utan bygger aktivt upp ett samarbetande ekosystem där enheter är bättre förberedda på att motverka cyberhot, skydda data och upprätthålla sina intressenters förtroende. För institutioner som navigerar i de komplexa digitala hoten är DORA en pålitlig allierad i deras cybersäkerhetsstrategi.
Saknar Cyberday ett ramverk som du skulle vilja arbeta vidare med? DORA publicerades på Cyberday tack vare önskemål från våra användare. Vårt team arbetar ständigt med att göra nya ramverk tillgängliga, så önska dig din favorit, din önskan kanske går i uppfyllelse ⭐️ Till ramverken.
