EU har en klar mission. De europæiske virksomheder skal gøre sig modstandskraftige mod den stigende cyberkriminalitet, som hver eneste dag kaster forfanget ud efter både store og små virksomheder i den europæiske union. EU-kommissionen har derfor også følt det nødvendigt at vedtage flere forskellige direktiver og forordninger, som skal være med til at opbygge en digital mur om de europæiske virksomheder. Først så vi NIS2-direktivet, og fra den 17. januar 2025 vil lovkravene i DORA-forordningen træde i kraft.
Hvad er Digital Operational Resilience Act (DORA)?
Formålet med DORA-forordningen er at etablere en fælles digital robusthed i den finansielle sektor, hvilket indbefatter de fleste forsikrings- og pensionsselskaber. Dette vil EU gøre ved at skabe ensartede krav til IT- og cybersikkerhed og samtidigt modernisere reglerne på området. Visse af kravene i DORA er også gennemgående i EU-direktivet NIS2. Derfor vil NIS2-direktivet ikke være gældende for de virksomheder, som er omfattet af Digital Operational Resilience Act-forordningen.
”DORA-forordningen kommer til at introducere en mere omfattende regulering af små- og mellemstore virksomheder i finanssektoren. Her kommer proportionalitet til at være en styrende princip for forordningens krav. Det betyder, at DORA-forordningens krav bliver målt efter den enkelte virksomheds størrelse og risikoprofil samt karakteren, omfanget og kompleksiteten af selskabets tjenester, aktiviteter og operationer”, forklarer IT-sikkerhedskonsulent René Matthiassen, som blandt andet har været med til at udvikle rammerne for nogle af de nye IT-sikkerhedslovkrav for EU-kommissionen.
Hvilke krav ligger der i DORA-forordningen?
Forordningens krav vil være markant mere detaljerede end de regelsæt, som er tilfældet i dag, hvor man har opdelt krav for henholdsvis forsikringsselskaber, pensionsselskaber og banker. Deler man forordningen op i fem indsatsområder, så ser det ud på følgende måde:
DORA-forordningens krav bygger på fem søjler
1 – IT-risikostyring: Principper og krav til IT-risikostyring.
2 – Hændelsesrapportering: En udvidelse af de finansielles enheders forpligtelser omkring hændelsesrapportering.
3 – Test: Krav om grundlæggende og avanceret test af digital operationel robusthed, eksempelvis penetration test og sårbarheds test.
4 – Leverandørstyring: Overvågning af risici, krav til kontrakter og tilsyn med kritiske leverandører.
5 – Informationsdeling: Frivillig udveksling af information og efterretninger vedrørende cybertrusler og angreb
”Det er en kompleks opgave at få inkorporeret samtlige af disse krav. Jeg vil anbefale, at man som virksomhed finder en eller flere konsulenter, som har den nødvendige viden og som kan sætte struktur og retning for virksomhedens IT-sikkerhed i overensstemmelse med DORA-forordningen. På den måde sikrer man sig, at sanktioner ikke rammer virksomheden”, understreger René Mathiassen.
