Forordningen om Digital operasjonell motstandskraft (DORA)

Den 17. januar 2025 trer DORA i kraft i EU. Forordningen inneholder felleseuropeisk regelverk og krav til finansnæringens håndtering og vurdering av IKT-risiko. Her kan du lese mer og se en informasjonsvideo om DORA.

Hva er DORA?

Digital Operational Resilience Act (DORA) kalles i Norge for forordningen om digital operasjonell motstandskraft. DORA inneholder felleseuropeiske regler som definerer og harmoniserer detaljerte krav til finansinstitusjoners håndtering og vurdering av IKT-risiko. Forordningen har som mål å styrke finansnæringens operasjonelle digitale motstandskraft.

Med DORA vil man:

  • Kodifisere finansinstitusjoners håndtering av IKT-risiko.
  • Sikre et felles nivå på IKT-sikkerhet i finanssektoren.
  • Tydeliggjøre at et selskaps ledende organer må være kompetente og har ansvaret for håndtering av IKT-risiko. Heve kompetansen også hos tilsynsmyndigheter.
  • Skape en infrastruktur for å utbytte informasjon om IKT-hendelser.
  • Tydeliggjøre og harmonisere krav til tredjepartsleverandører.

Forordningen plasserer ansvaret for arbeidet med IKT-sikkerhet hos selskapets ledelse på en tydelig måte, og stiller krav til ledelsen om kompetanse, ressurser, prosesser, åpenhet og kontroll.

For å kunne gjøre dette kreves at ledelsen har oppmerksomhet på å definere, godkjenne, kontrollere og ta ansvar for implementering av tiltak som påvirker IKT-risiko i institusjonen, og at det er etablert klare roller og ansvar for alle IKT-relaterte funksjoner.

Ledelsen må sette risikotoleransen for IKT risiko. Videre må ledelsen godkjenne, kontrollere og evaluere prosesser som sikrer:

  • kontinuitet i virksomheten
  • gjenopprettelser etter kriser
  • IKT revisjon
  • IKT tredjepartsrisikohåndtering

Selskapet må ha en hensiktsmessig allokering av IKT-investeringer, og for å sikre kvaliteten i denne typen beslutninger, må ledelsen regelmessig gjennomgå IKT-trening. Reglene om styring og kontroll kompletteres med regler om rapportering og om testing av digital operasjonell motstandskraft.

Felles prinsipper for overvåking av tredjepartsrisiko legges fast. I tillegg spesifiseres detaljerte harmoniserte grunnleggende regler for kontraktsinngåelse og serviceavtaler som inngås med tredjepartsleverandører.

Det vil gi et bedre utgangspunkt for systematisk vurdering av faktisk IKT-risiko forbundet med leveranse fra tredjepartsleverandører.

Med forordningen vil man drive konvergens når det gjelder tilsyn med tredjepartsleverandører. Kritiske tredjepartsleverandører, slike som har avgjørende betydning for finansnæringens virkemåte, vil overvåkes på paneuropeisk nivå.

Læring på markedsnivå, sikres ved at selskapene oppfordres til å dele informasjon med andre aktører i informasjonshuber. Nordisk FinansCert er en slik informasjonshub, og mange norske aktører har gode erfaringer av å arbeide med den typen informasjonsutveksling.

Forordningen skal samvirke med ulike typer av nasjonale sikkerhetssystemer.

Hvem er DORA viktig for?

Dette skjer mot et bakteppe der aktørene møter stadig nye utfordringer innenfor beskyttelse av data- og cybersikkerhet, samtidig som avhengigheten av ulike data i næringens tjenesteproduksjon øker.

Tilsynsmyndigheter og lovgiver fokuserer med dette på at institusjoner retter oppmerksomhet og ressurser mot å sikre et systematisk arbeid med datasikkerhet for å sikre operasjonalitet i hele verdikjeden.

DORA er laget etter mønster av og er tenkt å passe sammen med lovgivningen på det finansielle området. Styrings- og kontrollmekanismene vil derfor ikke være ukjente for næringen.

Forslaget vurderes som relevant for EØS. Det innebærer at det finnes et ønske om harmoniserte regler for hele det indre markedet, og at Norge er med.

Å være «compliant» med disse reglene vil dermed fungere som et kvalitetsstempel som er gangbart i det indre markedet. Det er derfor naturlig å ønske seg at denne forordningen trer i kraft samtidig i EU og i EØS, og at inkluderingen i EØS-avtalen ikke forsinkes.

Hvilke konsekvenser kan DORA få?

Kontroll med IKT-risiko er ikke noe nytt for norsk finansnæring. I og med at dette er detaljerte og harmoniserte regler vil forordningen medføre en del tilpasning. Det er imidlertid ikke ventet at det vil medføre noen radikale forandringsbehov i norsk næring.

Det er enn så lenge uklart når DORA vil innlemmes i EØS-avtalen og tre i kraft i Norge.

Lær mer om DORA

Se Finans Norges informasjonsvideo av DORA her på denne siden. Videoen er med lyd. 

Mer om digitalisering: Finans Norges temaside om digitalisering

Aktuelle saker om DORA

  1. Få siste oppdatering om DORA

    Finans Norge inviterer alle finansforetak til webinar om Digital Operation Resilience ACT (DORA) med fokus på leverandørstyring.

Lurer du på noe? Ta gjerne kontakt.
Pål Christian Waag, fagdirektør cybersikkerhet i Finans Norge. Foto.