Vad är DORA (Digital Operational Resilience Act)?

Vad är DORA (Digital Operational Resilience Act)?

Lucas Rosvall
Publicerad av Lucas Rosvall
den

Hur kan finanssektorn skydda sig mot en allt mer digital och hotfylld värld? Europeiska unionen har tagit ett avgörande steg med införandet av DORA, Digital Operational Resilience Act, en ny lag som syftar till att stärka cybersäkerheten inom finansiella tjänster.

DORA är speciellt utformat för att stödja banker, försäkringsbolag och andra finansiella institutioner i deras förmåga att hantera och återhämta sig från digitala störningar.

Detta inkluderar allt från cyberattacker till tekniska fel och andra säkerhetshot, och säkerställer att dessa kritiska institutioner förblir motståndskraftiga.

Vad innebär DORA regelverket?

DORA innehåller flera specifika krav som riktar sig till att förbättra den digitala motståndskraften:

  • Riskhantering: Varje finansiellt företag måste ha en plan för att hantera digitala risker. Denna plan ska inkludera tydliga strategier för riskbedömning och riskminimering.
  • Incidentrapportering: Företagen måste rapportera större säkerhetsincidenter till en central myndighet snabbt. Detta hjälper till att snabbt adressera och sprida viktig information om potentiella hot.
  • Resiliens hos tredjepartstjänster: Företagen måste säkerställa att deras IT-tjänsteleverantörer också följer strikta säkerhetskrav. Detta är avgörande eftersom många finansiella tjänster är beroende av externa leverantörer.
  • Återhämtningsplaner: Varje institution ska ha en plan för hur de ska återgå till normal drift efter en störning. Dessa planer måste testas regelbundet för att garantera deras effektivitet.

När börjar DORA gälla?

DORA-förordningen börjar gälla i januari 2025. Det ger finansiella institutioner och andra berörda parter tillräckligt med tid att förbereda sig för att möta de nya kraven.

Under denna övergångsperiod är det viktigt att organisationerna tar steg för att anpassa sina cybersäkerhetsstrategier och -rutiner för att säkerställa full efterlevnad.

Förberedelsesteg inför DORA

För att hinna anpassa sig till DORA-förordningen behöver finansiella institutioner vidta flera viktiga steg:

  • Utbildning och medvetenhet: Se till att ledningen och anställda förstår DORAs krav och implikationer.
  • Risk och GAP-analys: Identifiera sårbarheter och skillnader mellan nuvarande praxis och DORAs krav.
  • Uppdatering av policyer: Anpassa interna policyer och rutiner för att uppfylla de nya säkerhetskraven.
  • Tekniska förbättringar: Investera i och uppgradera tekniska lösningar för att stärka IT-säkerheten.
  • Stresstester och simuleringar: Genomför stresstester för att utvärdera organisationens motståndskraft.
  • Kontinuerlig övervakning: Implementera processer för regelbunden granskning och anpassning till nya säkerhetsutmaningar.

Dessa steg planerar vi att utforska mer detaljerat i framtida artiklar.

Hur skiljer sig DORA från NIS2?

DORA och NIS2 är båda regelverk utvecklade för att stärka cybersäkerheten, men de tjänar olika sektorer med skilda krav.

DORA är specifikt designad för den finansiella sektorn och inför detaljerade krav för att skydda system och data hos banker, försäkringsbolag och andra finansiella tjänster.

Det inkluderar strikta krav på riskhantering hos tredjepartsleverantörer som är kritiska för finansiella institutioner, samt obligatoriska stresstester och återhämtningsövningar för att säkerställa robusta försvarsmekanismer.

NIS2, å andra sidan, har en bredare tillämpning och omfattar vitala sektorer som energi, transport och hälsovård.

Till skillnad från DORA, som fokuserar på specifika säkerhetsåtgärder, tar NIS2 ett mer övergripande grepp genom generella säkerhetskrav för tredjepartsleverantörer över alla kritiska infrastrukturer.

När det gäller tillsyn sker DORA genomförande under noggrann översikt av finansiella tillsynsmyndigheter för att säkerställa strikt efterlevnad, medan NIS2 hanteras genom en blandning av nationella och sektorspecifika myndigheter, vilket gör att det skiljer sig mellan olika sektorer.

Sammanfattningsvis stärker DORA (Digital Operational Resilience Act) cybersäkerheten inom finanssektorn genom skärpta krav på riskhantering och incidentrapportering, och träder i kraft i januari 2025.

DORA skiljer sig också från NIS2 på flera sätt, exempelvis genom obligatoriska stresstester och återhämtningsövningar och striktare krav på riskhantering hos tredjepartsleverantörer.