IT-sikkerhed og compliance

Implementering af DORA - Data Protection Resilience Act

Den europæiske bank unions besked til den finansielle sektor er klar – alle underlagte virksomheder skal være langt mere modstandsdygtige overfor den stigende grad af IT-kriminalitet, som aggressivt angriber finansielle virksomheder i jagten på økonomiske eller politiske gevinster. 

Det er også derfor, at den nye DORA-forordning (Digital Operational Resilience Act) træder i kraft i januar 2025, som skal være med til at skabe fælles IT-sikkerhedsregler for den finansielle sektor i EU. Er du omfattet af DORA-kravene, så kan ChangeGroup hjælpe dig med at opnå en succesfuld implementering. Når vi er en del af dit team, så arbejder vores IT-sikkerhedsrådgivere og projektledere med effektiv implementering gennem vores fem-trins compliance-plan i henhold til ISO 27001-standarden. Læs mere om de fem trin nedenfor.  

 

Mail til Allan Ring til Allan
Allan von Staffeldt Beck
Skal vi tage en snak om CRA?

Allan von Staffeldt Beck

+45 3118 2488
ab@changegroup.dk

Hvad er Data Protection Resilience Act (DORA)?

DORA-forordningen har til formål at understøtte en fælles front mod IT-kriminalitet i den finansielle sektor, hvilket indbefatter de fleste forsikrings- og pensionsselskaber. Dette betyder, at virksomheder under gældende kategori skal efterleve de krav, som DORA-forordningen foreskriver i form af ensartede krav til IT- og cybersikkerhed. Flere af de efterlevelseskrav, som eksisterer i DORA-forordningen, er også krav i NIS2-direktivet. Derfor er NIS2-direktivet ikke gældende for de virksomheder, som er omfattet af DORA-forordningen.



Hvilke kernekrav ligger der i DORA-forordningen?

Forordningens krav vil være markant mere detaljerede end de regelsæt, som er tilfældet i dag, hvor man har opdelt krav for henholdsvis forsikringsselskaber, pensionsselskaber og banker. DORA-forordningens krav bygger på fem søjler:

  • IT-risikostyring: Principper og krav til IT-risikostyring
  • Hændelsesrapportering: En udvidelse af de finansielles enheders forpligtelser omkring hændelsesrapportering
  • Test: Krav om grundlæggende og avanceret test af digital operationel robusthed, eksempelvis penetration test og sårbarheds test
  • Leverandørstyring: Overvågning af risici, krav til kontrakter og tilsyn med kritiske leverandører
  • Informationsdeling: Frivillig udveksling af information og efterretninger vedrørende cybertrusler og angreb
DORA IT-sikkerhed

DORA og ISO 27001-standarden

I missionen om at blive DORA-compliant anbefaler vi, at man lægger sig op ad den internationale standard for informationssikkerhedsstyringssystemer ISO 27001. ISO 27001 kan sikre en effektiv overholdelse af DORA-kravene ved at etablere en stærk ramme for risikostyring, informations- og IT-sikkerhedspolitikker, kontrolforanstaltninger og overvågnings- og revisionsprocesser, som kan sikre en effektiv styring af informationssikkerhed og operationel modstandsdygtighed.

Bliv compliant til Data Protection Resilience Act (DORA) 

Implementering af DORA-forordningen indebærer en omfattende tilgang til beskyttelse af persondata og sikring af overholdelse af lovgivningen. Gennem vores fem-trins plan til implementering af DORA-forordningen hjælper vi din virksomhed med at skabe en robust IT- og cybersikkerhed, som opfylder lovgivningens krav. 

TRIN 1: IT-risikostyring

For at sikre et passede IT-sikkerhedsniveau, så vil vores rådgivere gennemgå den eksisterende IT-infrastruktur, systemer og processer for at identificere potentielle risici og sårbarheder. Her vil de udføre en risikoanalyse for at vurdere sandsynligheden og konsekvensen af ​​de identificerede risici, og udforme og implementer politikker, procedurer og teknologiske løsninger for at minimere eller eliminere identificerede risici. Når disse processer er gennemgået, så vil de etablere en løbende overvågningsproces for at sikre, at risici håndteres effektivt i virksomheden fremover. 

TRIN 2: Hændelsesrapportering 

Et vigtigt krav i den kommende forordning er, at virksomheden har udviklet bestemte producerer for dokumentering og rapportering af IT-sikkerhedsbrud, og her ligger der en større udvidelse af de finansielles enheders forpligtelser omkring hændelsesrapportering. Her vil vores rådgivere skabe klare retningslinjer og procedurer for rapportering af hændelser inden for organisationen samt udvikle rapporteringskanaler og tidsrammer for hændelsesrapportering. Her vil det også være nødvendigt at uddanne medarbejdere til korrekt brug af rapporteringssystemerne. 

TRIN 3: Test af digital operationel robusthed  

Et andet krav i forordningen er krav om grundlæggende og avanceret test af digital operationel robusthed ved anvendelse af Threat-Led Penetration Tests (TLPT). Vores rådgivere vil bruge TLP-tests til at udfører evalueringer af virksomhedens infrastruktur for at identificere og udnytte sårbarheder. Formålet med TLPT er at simulere angreb fra en potentiel hacker eller ondsindet aktør for at afdække svagheder i sikkerheden og identificere områder, hvor der er risiko for uautoriseret adgang eller datatab. Resultaterne af testen/testene vil blive evalueret, dokumenteret og afslutningsvist sammenfattet i en rapport, som angiver forbedringsforslag til IT-sikkerheden. 

TRIN 4: Leverandørstyring 

Forordningen kommer også med krav til et nyt område for virksomhederne i den finansielle sektor – nemlig krav som indbefatter virksomhedens leverandører. Vores rådgivere vil derfor gennemføre en vurdering af eksisterende og potentielle leverandører i henhold til at overholde DORA-forordningens krav, og hertil fastlægge de kriterier for valg af leverandører baseret på virksomhedens sikkerhedsforanstaltninger og overholdelse af relevante standarder. Her vil et vigtigt element være at indarbejde DORA-relaterede krav i kontrakter med eksisterende og fremtidige leverandører, og når de nye selekteringskrav er fastlagt, så skal der etableres en regelmæssig overvågning og revision af leverandørers præstationer for at sikre overholdelse af kontraktuelle forpligtelser. 

TRIN 5: Informationsdeling 

Sidste implementeringsfase fokuserer på de risikogrubber, som der ligger i informationsdeling både internt og eksternt. Her vil vores rådgivere definerer procedurer for sikker og effektiv informationsdeling og implementere teknologiske løsninger til at lette informationsdelingen og samarbejdet på tværs af organisationen. I forlængelse heraf vil vores rådgivere uddanne medarbejdere om vigtigheden af sikker informationsdeling og de procedurer, der skal følges for at sikre sikker informationsdeling. 

Ved at følge disse fem trin kan jeres virksomhed opnå den rette compliance med DORA-forordningen og styrke beskyttelsen af persondata i overensstemmelse med lovgivningen. Det er dog vigtigt at være opmærksom på eventuelle ændringer i lovgivningen og løbende tilpasse politikker og procedurer i overensstemmelse hermed. 

 

Øg IT-sikkerheden sammen med os

 Hos ChangeGroup hjælper vi vores kunder med at blive DORA-compliant, og 150 af vores dygtige konsulenter er blandt andet certificeret i EU-persondataforordningen, CIPP/E, CIPM, ISO 27001 og IEC 62443. Vores rådgivere og subject matter-eksperter kan hjælpe med at udarbejde en risikovurdering, der kortlægger jeres informationssikkerhedsrisici. Dette skaber et solidt afsæt for jeres sikkerhedsstrategi jf. ISO 27000-serien.