DORA
DORA

Lov om digital driftssikkerhet

Når bankens IT-systemer bryter sammen, er det ikke bare en ulempe – det utgjør en systemrisiko

Loven om digital driftssikkerhet (DORA) er EUs svar på et enkelt spørsmål: Hva skjer når finanssektorens IT-systemer svikter? DORA etablerer et felles rammeverk for IKT-risikostyring, hendelsesrapportering, robusthetstesting og risikostyring knyttet til tredjeparter for hele finanssektoren i EU. For når en bank, et forsikringsselskap eller en betalingsleverandør går offline, er det ikke bare et IT-problem – det er en systemrisiko.

Omfang

Praktisk talt alle finansielle enheter i EU: banker, forsikringsselskaper, verdipapirforetak, betalingsleverandører, leverandører av tjenester knyttet til kryptoaktiva og – ikke minst – deres eksterne leverandører av IKT-tjenester. Hvis du leverer sky-, programvare- eller datatjenester til finanssektoren, gjelder DORA også for deg.

Geografisk rekkevidde

EU-forordning med direkte virkning. Gjelder alle finansinstitusjoner som er godkjent i EU og deres kritiske IKT-tjenesteleverandører, uavhengig av hvor leverandørene har sitt hjemsted.

Gjeldende fra

17. januar 2025

Formål

For å sikre at finanssektoren kan tåle, håndtere og komme seg etter IKT-relaterte forstyrrelser. Se på det som en kondisjonstest for bankens IT-infrastruktur – og treneren er Den europeiske tilsynsmyndigheten, så det er best å ta det på alvor.

Gå til din rolle:

Finansinstitusjon

Du er en regulert finansinstitusjon: bank, forsikringsselskap, verdipapirforetak, betalingsinstitusjon, institusjon for elektroniske penger, verdipapirregister, kredittvurderingsbyrå eller tjenesteleverandør innen kryptoaktiva. Hvis du har en finansiell lisens i EU, gjelder DORA for deg.

Dine forpliktelser

  • Etablere og opprettholde et omfattende rammeverk for IKT-risikostyring (art. 5–16)
  • Klassifisere og rapportere alvorlige IKT-relaterte hendelser: innledende rapport innen 4 timer, delrapport innen 72 timer, sluttrapport innen 1 måned (art. 17–23)
  • Gjennomføre regelmessige tester av digital driftssikkerhet, herunder trusselbaserte penetrasjonstester (TLPT) for viktige enheter (art. 24–27)
  • Håndter risiko knyttet til tredjeparter innen IKT gjennom strukturert due diligence, kontraktsmessige krav og løpende overvåking (art. 28–44)
  • Delta i ordninger for informasjonsutveksling om cybertrusler (art. 45)
  • Sørg for at ledelsen tar det overordnede ansvaret for IKT-risiko – herunder opplæring (art. 5.2)
  • Føre et register over alle avtaler med tredjeparter innen IKT (art. 28.3)
  • Kartlegge IKT-ressurser, systemer og avhengigheter – også på tvers av konsernstrukturer (art. 8)

Viktige artikler

Art. 5–16 — Rammeverk for risikostyring innen IKT§ 17–23 — Klassifisering og rapportering av hendelser§ 24–27 — Testing av digital robusthet§ 28–44 — Risikostyring knyttet til tredjeparter§ 45 — Utveksling av opplysninger
Proff-tips

Fristen på fire timer for innrapportering er den strengeste i hele EU-regelverket. Sett opp automatisert hendelsesdeteksjon og ha forhåndsutformede maler klare. Kartlegg også IKT-avhengighetene deres nå – når en hendelse inntreffer, må dere vite hvilken leverandør som er berørt og hva kontraktene sier om deres forpliktelser.

Tredjepartsleverandør av IKT-tjenester

Dere leverer IKT-tjenester til finansinstitusjoner: skyinfrastruktur, kjernebankprogramvare, betalingsbehandling, dataanalyse, cybersikkerhetstjenester eller IT-outsourcing. Hvis finanssektoren er avhengig av systemene deres, har DORA noe å si til dere – særlig hvis dere er utpekt som en «kritisk» IKT-leverandør av de europeiske tilsynsmyndighetene.

Dine forpliktelser

  • Støtte finansinstitusjoner i deres etterlevelse ved å gi tilstrekkelig informasjon og sikkerhet (art. 28–30)
  • Godta avtalebestemmelser som omfatter: tjenestebeskrivelser, datalokalisering, sikkerhetstiltak, støtte ved sikkerhetshendelser, revisjonsrettigheter og uttrekksstrategier (art. 30)
  • Rapporter umiddelbart hendelser som berører kunder som er finansielle enheter (art. 30.2e)
  • Dersom virksomheten er utpekt som kritisk: underlegges direkte tilsyn av de europeiske tilsynsmyndighetene (art. 31–44)
  • Dersom virksomheten er kritisk: opprettholde tilstrekkelige sikkerhetsstandarder, gjennomføre vurderinger og gi risikoinformasjon til myndighetene (art. 33–36)
  • Sørg for at avtaler om underleverandørbruk ikke svekker den finansielle enhetens evne til å overholde kravene (art. 30.2a)

Viktige artikler

§ 28 — Generelle prinsipper for tredjepartsrisiko innen IKT§ 30 — Sentrale avtalevilkår§ 31–44 — Rammeverk for tilsyn med kritiske leverandører
Proff-tips

Hvis du leverer tjenester til finanssektoren, bør du allerede nå begynne å gjennomgå kontraktene dine opp mot kravene i DORA artikkel 30. Finansinstitusjonene vil videreformidle disse kravene til deg – vær proaktiv i stedet for reaktiv. Å ha DORA-kompatible kontraktmaler viser at du er forberedt og sparer tid i forhandlingsprosessen.

Hvordan Euregas kan hjelpe

Tilgjengelige verktøy

  • Risikovurderinger innen IKT — strukturerte vurderinger i samsvar med kravene i DORA artikkel 5–16
  • Hendelseshåndtering — følg med på IKT-hendelser med automatiske påminnelser om frister på 4 timer og 72 timer
  • Risikostyring knyttet til tredjeparter (art. 28–44) – vurdere og overvåke leverandører av IKT-tjenester

AI-støttede funksjoner

  • Semantisk søk i DORA-artikler og betraktninger
  • AI-forhåndsutfylte trinn for saker knyttet til DORA-samsvar
Merknad

DORA-modulen tilbyr manuelle, strukturerte arbeidsflyter. AI-støttede funksjoner (f.eks. klassifisering av hendelsers alvorlighetsgrad og automatisk TLPT-avgrensning) er planlagt i fremtidige versjoner.

Alle eksemplene er fiktive og brukes kun til illustrasjonsformål.