1. Hvad er DORA?
Digital Operational Resilience Act er en række lovkrav målrettet finans-, forsikrings- og pensionsbranchen. Forordningen skal erstatte de eksisterende krav, der anvendes i dag, og som kendes som bilag 4 og 5. Formålet med forordningen er at styrke selskabernes modstandsdygtighed overfor cyberangreb samt deres services i samfundet målt ud fra deres nødvendighed i forhold til deres kunder.
2. Hvem gælder DORA for?
DORA gælder for banker, betalingsinstitutter, betalingsservicevirksomheder samt forsikrings- og pensionsselskaber. Disse er i dag underlagt bekendtgørelsen under bilag 4 og 5. EU ønsker fremadrettet at have en større modstandsdygtighed i disse brancher, da de udgør kritisk infrastruktur. Hertil er det et ønske fra EU at løfte graden af koordinering imellem og på tværs af lande i EU. Derfor eksisterer der specifikke krav til eks. rapportering til myndigheder i forbindelse med cyberangreb, men også til måden, hvorpå modstandsdygtigheden testes. Dette er omtalt som Threat Led Penetration Testing (TLPT). Hertil eksisterer en række andre krav, der også skal implementeres.
3. Hvordan bliver man DORA-compliant?
Som med andre complianceprogrammer er det vigtigt, at man har specialistviden omkring DORA, og derfor kan bygge bro mellem kravene til de specifikke leverancer. For at sikre, at sådan et komplekst lovkrav efterleves er det vigtigt at det styres, hvilket kan sikres gennem projektledelse. Evnen til at bryde krav op i leverancer sikrer afhængighed mellem dem samt prioriterer dem, der er vigtigst, hvilket sikrer et succesfuldt projekt på baggrund af en succesfuld implementering.
4. Hvordan arbejder man med de forandringer, som DORA-compliance medbringer?
Implementeringen af DORA bør betragtes som en kontinuerlig forbedringscyklus, hvor der løbende evalueres og justeres for at sikre vedvarende niveauet af compliance. For at implementere ændringerne fra DORA-compliance, anbefaler ENISA og EU-Kommissionen at anvende koordinerede standarder for ensartethed i implementeringen. Herunder indgår fælles tekniske standarder for rapportering af større IKT-hændelser og klassifikation af hændelser. Dertil bør uddannelsesmulighederne og træningen inden for cybersikkerhed øges markant, for at dække alle relevante roller, der er berørte i organisationen. Dertil skal samarbejdet mellem nationale kompetente myndigheder og operatører styrkes gennem informationsdeling og koordinering af cybersikkerhedsøvelser.
Læs mere om DORA her!