Forordningen om Digital operasjonell motstandskraft - DORA

Gå til hovedinnhold

Forordningen om Digital operasjonell motstandskraft - DORA

EU-kommisjonen har lagd et forslag til forordning som definerer kryptoverdier og setter krav til utstedere, tjenesteleverandører og markedsplasser.

Hva er dette?

Forslaget til forordningen DORA har som mål å:

  • Kodifisere finansinstitusjoners håndtering av IKT-risiko.
  • Sikre et felles nivå på IKT-sikkerhet i finanssektoren.
  • Tydeliggjøre at et selskaps ledende organer må være kompetente og har ansvaret for håndtering av IKT-risiko. Heve kompetansen også hos tilsynsmyndigheter.
  • Skape en infrastruktur for å utbytte informasjon om IKT-hendelser.
  • Tydeliggjøre og harmonisere krav til tredjepartsleverandører.

Forordningen plasserer ansvaret for arbeidet med IKT-sikkerhet hos selskapets ledelse på en tydelig måte, og stiller krav til ledelsen om kompetanse, ressurser, prosesser, åpenhet og kontroll.

For å kunne gjøre dette kreves at ledelsen har oppmerksomhet på å definere, godkjenne, kontrollere og ta ansvar for implementering av tiltak som påvirker IKT-risiko i institusjonen, og at det er etablert klare roller og ansvar for alle IKT-relaterte funksjoner.

Ledelsen må sette risikotoleransen for IKT risiko. Videre må ledelsen godkjenne, kontrollere og evaluere prosesser som sikrer:

  • kontinuitet i virksomheten
  • gjenopprettelser etter kriser
  • IKT revisjon
  • IKT tredjepartsrisikohåntering

Selskapet må ha en hensiktsmessig allokering av IKT-investeringer, og for å sikre kvaliteten i denne typen beslutninger, må ledelsen regelmessig gjennomgå IKT-trening. Reglene om styring og kontroll kompletteres med regler om rapportering og om testing av digital operasjonell motstandskraft.

Felles prinsipper for overvåking av tredjepartsrisiko legges fast. I tillegg spesifiseres detaljerte harmoniserte grunnleggende regler for kontraktsinngåelse og serviceavtaler som inngås med tredjepartsleverandører.

Det vil gi et bedre utgangspunkt for systematisk vurdering av faktisk IKT-risiko forbundet med leveranse fra tredjepartsleverandører.

Med forordningen vil man drive konvergens når det gjelder tilsyn med tredjepartsleverandører. Kritiske tredjepartsleverandører, slike som har avgjørende betydning for finansnæringens virkemåte, vil overvåkes på paneuropeisk nivå.

Læring på markedsnivå, sikres ved at selskapene oppfordres til å dele informasjon med andre aktører i informasjonshuber. Nordisk FinansCert er en slik informasjonshub, og mange norske aktører har gode erfaringer av å arbeide med den typen informasjonsutveksling.

Forordningen skal samvirke med ulike typer av nasjonale sikkerhetssystemer.

Hvem er det viktig for?

Dette skjer mot et bakteppe der aktørene møter stadig nye utfordringer innenfor beskyttelse av data- og cybersikkerhet, samtidig som avhengigheten av ulike data i næringens tjenesteproduksjon øker.

Tilsynsmyndigheter og lovgiver fokuserer med dette på at institusjoner retter oppmerksomhet og ressurser mot å sikre et systematisk arbeid med datasikkerhet for å sikre operasjonalitet i hele verdikjeden.

DORA er laget etter mønster av og er tenkt å passe sammen med lovgivningen på det finansielle området. Styrings- og kontrollmekanismene vil derfor ikke være ukjente for næringen.

Forslaget vurderes som relevant for EØS. Det innebærer at det finnes et ønske om harmoniserte regler for hele det indre markedet, og at Norge er med.

Å være «compliant» med disse reglene vil dermed fungere som et kvalitetsstempel som er gangbart i det indre markedet. Det er derfor naturlig å ønske seg at denne forordningen trer i kraft samtidig i EU og i EØS, og at inkluderingen i EØS-avtalen ikke forsinkes.

Hvilke konsekvenser kan det få?

Kontroll med IKT-risiko er ikke noe nytt for norsk finansnæring. I og med at dette er detaljerte og harmoniserte regler vil forordningen medføre en del tilpasning. Det er imidlertid ikke ventet at det vil medføre noen radikale forandringsbehov i norsk næring.

Lær mer om DORA

Se Finans Norges videopresentasjon av EU-forordningen om digital operasjonell motstandskraft i finansnæringen (DORA). Videopresentasjonen er med lyd. Ta kontakt dersom du ønsker å få tilsendt foilene.

Regelverket er helt nytt, og her går vi gjennom de ulike delene og peker på hvordan det er tenkt å fungere. Vi forteller også litt om prosess og hvordan regelverket interagerer med andre regelverk.