I januar 2025 trer EUs forordning DORA i kraft i EU. Forordningen definerer og harmoniserer detaljerte krav til finansinstitusjoners håndtering og vurdering av IKT-risiko. Forordningen har som mål å styrke næringens operasjonelle digitale motstandskraft.
Med DORA vil man:
Forordningen plasserer ansvaret for arbeidet med IKT-sikkerhet hos selskapets ledelse på en tydelig måte, og stiller krav til ledelsen om kompetanse, ressurser, prosesser, åpenhet og kontroll.
For å kunne gjøre dette kreves at ledelsen har oppmerksomhet på å definere, godkjenne, kontrollere og ta ansvar for implementering av tiltak som påvirker IKT-risiko i institusjonen, og at det er etablert klare roller og ansvar for alle IKT-relaterte funksjoner.
Ledelsen må sette risikotoleransen for IKT risiko. Videre må ledelsen godkjenne, kontrollere og evaluere prosesser som sikrer:
Selskapet må ha en hensiktsmessig allokering av IKT-investeringer, og for å sikre kvaliteten i denne typen beslutninger, må ledelsen regelmessig gjennomgå IKT-trening. Reglene om styring og kontroll kompletteres med regler om rapportering og om testing av digital operasjonell motstandskraft.
Felles prinsipper for overvåking av tredjepartsrisiko legges fast. I tillegg spesifiseres detaljerte harmoniserte grunnleggende regler for kontraktsinngåelse og serviceavtaler som inngås med tredjepartsleverandører.
Det vil gi et bedre utgangspunkt for systematisk vurdering av faktisk IKT-risiko forbundet med leveranse fra tredjepartsleverandører.
Med forordningen vil man drive konvergens når det gjelder tilsyn med tredjepartsleverandører. Kritiske tredjepartsleverandører, slike som har avgjørende betydning for finansnæringens virkemåte, vil overvåkes på paneuropeisk nivå.
Læring på markedsnivå, sikres ved at selskapene oppfordres til å dele informasjon med andre aktører i informasjonshuber. Nordisk FinansCert er en slik informasjonshub, og mange norske aktører har gode erfaringer av å arbeide med den typen informasjonsutveksling.
Forordningen skal samvirke med ulike typer av nasjonale sikkerhetssystemer.
Dette skjer mot et bakteppe der aktørene møter stadig nye utfordringer innenfor beskyttelse av data- og cybersikkerhet, samtidig som avhengigheten av ulike data i næringens tjenesteproduksjon øker.
Tilsynsmyndigheter og lovgiver fokuserer med dette på at institusjoner retter oppmerksomhet og ressurser mot å sikre et systematisk arbeid med datasikkerhet for å sikre operasjonalitet i hele verdikjeden.
DORA er laget etter mønster av og er tenkt å passe sammen med lovgivningen på det finansielle området. Styrings- og kontrollmekanismene vil derfor ikke være ukjente for næringen.
Forslaget vurderes som relevant for EØS. Det innebærer at det finnes et ønske om harmoniserte regler for hele det indre markedet, og at Norge er med.
Å være «compliant» med disse reglene vil dermed fungere som et kvalitetsstempel som er gangbart i det indre markedet. Det er derfor naturlig å ønske seg at denne forordningen trer i kraft samtidig i EU og i EØS, og at inkluderingen i EØS-avtalen ikke forsinkes.
Kontroll med IKT-risiko er ikke noe nytt for norsk finansnæring. I og med at dette er detaljerte og harmoniserte regler vil forordningen medføre en del tilpasning. Det er imidlertid ikke ventet at det vil medføre noen radikale forandringsbehov i norsk næring.
Det er enn så lenge uklart når DORA vil innlemmes i EØS-avtalen og tre i kraft i Norge.
Se Finans Norges videopresentasjon av EU-forordningen om digital operasjonell motstandskraft i finansnæringen (DORA) på denne siden. Videopresentasjonen er med lyd. Ta kontakt dersom du ønsker å få tilsendt foilene.
