Tiktak. DORA er på vej. Er du klar?
EU-forordningen Digital Operational Resilience Act, også kendt som DORA, træder i kraft den 17. januar 2025. De virksomheder, der ikke overholder de nye skærpede krav til cybersikkerhed, risikerer ikke blot at få store bøder, men også at miste deres licens til at operere på de finansielle markeder. Det er noget, som kan give de fleste banker, forsikringsselskaber og pensionskasser svedige håndflader.
Heldigvis har du stadig tid til at få styr på DORA, men vent ikke for længe, inden du går i gang. Det tager nemlig tid at få opfyldt alle compliancekrav. Hos ChangeGroup står vi naturligvis også klar til at hjælpe. Vi har arbejdet med cybersikkerhed og DORA hos flere af de danske C25-virksomheder. [TW1] [RH2] Så vi ved, hvad der skal til, for at du kommer i mål og lever op til samtlige DORA-krav … inden januar.
Allan von Staffeldt Beck, Seniorrådgiver og faglig lead
Hvad er Digital Operational Resilience Act (DORA)?
Kort fortalt er Digital Operational Resilience Act (DORA) en forordning, altså en række lovkrav, der er målrettet finans-, forsikrings- og pensionsbranchen. Forordningen har til formål at sikre større IT- og cybersikkerhed på tværs af de europæiske lande og erstatter de lovkrav, som anvendes i dag, kendt som bilag 4 og 5.
Hvad skal du have styr på inden januar?
De nye krav i DORA er markant mere detaljerede end de krav, vi kender fra den eksisterende lovgivning, som er gældende i dag. Overordnet set kan kravene inddeles i 5 grupper, og for at være compliant skal du naturligvis have styr på dem alle sammen:
- Cybersikkerhed: Implementering af robuste sikkerhedsforanstaltninger for at beskytte digitale systemer.
- Risikovurdering: Gennemførelse af løbende risikovurderinger og tests af IT-systemer for at identificere og afbøde potentielle trusler.
- Incident response: Udvikling og vedligeholdelse af klare procedurer for håndtering af sikkerhedshændelser.
- Tredjepartsstyring: Styring af leverandører og tredjepartstjenester, så de er i overensstemmelse med DORA-kravene.
- Kontinuerlig overvågning: Etablering af systemer for kontinuerlig overvågning og rapportering af operationel modstandsdygtighed.
Hvor svært er det at implementere DORA?
At implementere DORA er en kompleks og tidskrævende opgave, der ikke blot kræver teknisk viden og erfaring med regulering, men også en hel del ressourcer. Alene det at få allokeret nok manpower til opgaven uden at påvirke andre forretningskritiske funktioner kan være en udfordring for mange virksomheder.
3 grunde til at vælge ChangeGroup
- Vi har nogle af landets førende eksperter i DORA og cybersikkerhed.
- Vi har erfaring fra projekter med halvdelen af landets C25-virksomheder.
- Vi har en særlig DORA-proces, der sikrer, at alle compliancekrav opfyldes.
Det er en kompleks opgave at få inkorporeret samtlige af disse krav, men det er afgørende at handle i tide for ikke at blive ramt af sanktioner.
René Matthiassen, partner og senior sikkerhedskonsulent, Frontdoor Security
Sådan kan ChangeGroup hjælpe dig med DORA
Hos ChangeGroup har vi mange års hands-on erfaring med cybersikkerhed, ligesom flere af vores konsulenter hører til blandt landets førende DORA-eksperter. Når vi implementerer DORA, følger vi fast 5-trins-proces, som sikrer, at alle compliancekrav bliver opfyldt. På den måde slipper du for at bekymre dig om sanktioner, operationelle forstyrrelser og regulatoriske krav, når vi rammer januar. Alt det har vi klaret inden, så du med ro i sindet kan fokusere på din kerneforretning.
ChangeGroups DORA-proces:
Trin 1: IT-risikostyring
Første trin er at gennemgå eksisterende IT-infrastruktur, systemer og processer for at identificere potentielle risici og sårbarheder. På baggrund af risikoanalysen fastlægger vi de politikker, procedurer og tekniske løsninger, der skal afhjælpe risiciene. Når alt er implementeret, etablerer vi en proces for overvågning af fremtidige risici.
Trin 2: Hændelsesrapportering
DORA udvider også de finansielles virksomheders forpligtelser for hændelsesrapportering. Blandt andet skal alle virksomheder have faste retningslinjer for dokumentering og rapportering af IT-sikkerhedsbrud. Det omfatter også uddannelse af medarbejderne, så de ved, hvordan de skal bruge de nye rapporteringssystemer. Alt det klarer vi i trin 2.
Trin 3: Test af digital operationel robusthed
I trin 3 anvender vi Threat-Led Penetration Tests (TLPT). Det vil sige, at vi simulerer angreb fra fx en hacker for at afdække svagheder i sikkerheden og identificere de områder, hvor der er risiko for uautoriseret adgang eller datatab. Resultaterne bliver efterfølgende evalueret, dokumenteret og sammenfattet i en rapport med forbedringsforslag.
Trin 4: Leverandørstyring
Leverandørstyring er et andet nyt krav i forordningen. Derfor skal implementeringen også omfatte en vurdering af leverandører. Her er et vigtigt element at indarbejde DORA-compliante krav i leverandørkontrakter og etablere en regelmæssig overvågning og revision af leverandørers præstationer for at sikre, at de overholder deres forpligtelser.
Trin 5: Informationsdeling
Det sidste implementeringstrin handler om at definere procedurer for sikker og effektiv informationsdeling samt at implementere tekniske løsninger, som kan lette delingen på tværs af organisationen. Trin 5 omfatter også uddannelse af medarbejdere, så de er i stand til at følge de nye procedurer for sikker informationsdeling.