DORA påvirker EU's finansielle servicesektor, og denne lovgivning er ved at slå bølger i den finansielle sektor. Her er et kig på nogle af de DORA-forpligtelser, som de finansielle institutioner skal overholde.
Den finansielle sektor har længe været en teknologisk innovator og den første, der har været på banen. Fremskridt inden for bank- og finanssektoren har betydet, at den digitale transformation i branchen er gået stærkt fremad. Men ny teknologi og nye arbejdsmetoder lokker cyberkriminelle til. Resultatet er, at angrebene mod den finansielle sektor er steget kraftigt.
I 2021 oplevede banksektoren enstigning på1.318 % iransomware-angreb, og 65 % af de store finansielle organisationer oplevede et cyberangreb i 2020. Den alvorlige karakter af de stadig mere komplekse og skadelige cyberangreb i den finansielle sektor har ført til, at der er kommet ny lovgivning ind i reguleringsleksikonet for finansielle tjenesteydelser, og dens navn er DORA (Digital Operational Resilience Act).
DORA-grundlæggende oplysninger
Det første udkast til DORA blev offentliggjort den 24. september 2020, og den 10. september 2022 blev det godkendt af Europa-Parlamentet. Lovgivningen vil spille en central rolle i den "digitale finanspakke", der bruges til at muliggøre innovation og konkurrence inden for digital finansiering og samtidig mindske de risici, der opstår som følge af branchens digitalisering.
Som sådan anvendes artikel 114 i traktaten om Den Europæiske Unions funktionsmåde (TEUF) som retsgrundlag for DORA; lovgivningen fokuserer på at harmonisere retningslinjerne for cybersikkerhed i hele sektoren.
EU bruger gerne reguleringsmidler til at konsolidere og harmonisere bedste praksis; GDPR er et eksempel på en harmoniseret forordning om databeskyttelse; DORA er EU's forsøg på at konsolidere og opgradere IKT-risikostyring i hele den finansielle sektor, idet DORA påvirker finansielle servicevirksomheder i EU og deres (kritiske) IKT-leverandører.
DORA vil kræve, at virksomheder i den finansielle sektor gennemfører foranstaltninger, der beskytter dem mod IKT-relaterede risici: DORA udvider kravene til også at omfatte tredjeparter, f.eks. cloud-leverandører.
Hvilke forpligtelser kræver DORA af den finansielle sektor?
Målet er at skabe et modstandsdygtigt miljø i hele økosystemet for finansielle tjenesteydelser. Den underliggende ramme for DORA er bygget på et sæt regler, der er udformet til at hjælpe de finansielle institutioner med at udvikle robuste risikostyringsprocesser. Nogle af de centrale krav og dækningen af DORA omfatter følgende:
DORA's anvendelsesområde
Næsten alle typer finansielle enheder vil være omfattet af DORA. De omfattede enheder omfatter kreditinstitutter, betalingsinstitutter, e-pengeinstitutter, investeringsselskaber, udbydere af kryptoaktiver, alternative investeringsfonde, forsikringsforvaltere osv. Undtagelsen er revisorer, som på nuværende tidspunkt ikke er omfattet af DORA-reglerne, men dette vil sandsynligvis ændre sig i fremtidige versioner af loven. For en fuldstændig liste over omfattede enheder henvises til artikel 2 i DORA.
IKT-leverandører, der leverer tjenester til omfattede enheder i henhold til DORA, skal også overholde loven. IKT-udbydere betragtes som centrale for den finansielle sektor og er som sådan underlagt strenge regler i henhold til DORA. Kritiske ikt-tjenesteudbydere fra lande uden for EU, der leverer ikt-tjenester til finansielle enheder i EU, skal oprette et datterselskab i EU.
IKT-udbydere og DORA
Risikostyring af tredjeparter er en vigtig del af DORA. Fokuseringen på IKT-udbydere er en reaktion på stigningen i antallet af angreb i forsyningskæden som f.eks. opdateringen af SolarWinds Orion-softwaren. Den Europæiske Unions Agentur for Cybersikkerhed (ENISA) har rapporteret om en øget sofistikering og mængde af angreb på forsyningskæden, hvor angriberne er målrettet mod forsyningskæden for at stjæle data og finansielle aktiver. DORA koordinerer kravene ved hjælp af eksisterende rammer som f.eks. retningslinjerne for udlicitering fra Den Europæiske Banktilsynsmyndighed (EBA). (Se også DORA artikel 14)
I henhold til DORA kan finansielle virksomheder definere visse IKT-leverandører som "kritiske". Som sådan vil en kritisk IKT-leverandør, der betjener en DORA-dækket enhed, være omfattet af strenge regler, der håndhæves via direkte samarbejde med EU's FS-myndigheder (finansielle tjenesteydelser).
Vigtige foranstaltninger til cybersikkerhed
De centrale værdier i DORA-lovgivningen er at opretholde robuste ikt-systemer. For at opnå dette er der opstillet følgende retningslinjer:
Risikostyring og modstandsdygtighed
Kernen i DORA er retningslinjer for risikostyring, der skal hjælpe sektoren for finansielle tjenesteydelser med at opbygge mere modstandsdygtige infrastrukturer. De deraf følgende risikostyringsprogrammer og -vurderinger anvendes som grundlag for test af modstandsdygtighed. Desuden forventer lovgivningen, at der skal gennemføres analyser af forretningskonsekvenserne baseret på scenarier for "alvorlige driftsforstyrrelser".
Resiliens- og sårbarhedstest forventes at blive udført af uafhængige eksperter og omfatter regelmæssig trusselsstyret penetrationstest. Det er vigtigt, at alle kritiske ikt-systemer testes årligt.
Beskyttelsesforanstaltninger (se også artikel 8)
Eksempler på beskyttelsesforanstaltninger, der er nødvendige, omfatter:
- Brug passende og omfattende politikker for patches og opdateringer.
- Implementere politikker og protokoller for stærke autentifikationsmekanismer
- Følg en risikobaseret tilgang for at etablere en sund netværks- og infrastrukturforvaltning
- gennemføre politikker, der begrænser den fysiske og virtuelle adgang til IKT-systemressourcer og data
- Forebyg lækage af oplysninger
IKT-håndtering af ulykker
Artikel 15 indeholder detaljerede oplysninger om kravene til håndtering og kontrol af sikkerhedshændelser, herunder procedurer til "at opdage, håndtere og anmelde ikt-relaterede hændelser og indføre indikatorer for tidlig varsling som alarmer".
Rapportering af cybersikkerhedshændelser
De omfattede enheder skal sørge for midler til at overvåge, beskrive og rapportere alle væsentlige IKT-baserede hændelser til de relevante myndigheder. Rapporteringsreglerne er strenge for kritiske IKT-leverandører. De omfatter en første indberetning senest ved udgangen af arbejdsdagen eller, hvis den væsentlige hændelse er indtruffet senere end to timer før arbejdsdagens afslutning, senest fire timer fra begyndelsen af den næste arbejdsdag.
Derefter skal der udarbejdes en mellemrapport senest en uge efter den første anmeldelse, hvorefter der senest en måned efter afsendelsen af den første rapport skal udarbejdes en endelig rapport, når den grundlæggende årsagsanalyse er afsluttet.
Ledelse og sikkerhedsmæssig ansvarlighed
DORA placerer ansvaret for ikt-risici og cybertrusler hos ledelsesgruppen for finansielle tjenesteydelser. Uddannelse i sikkerhedsbevidsthed vil bidrage til at sikre, at C-niveauet og hele virksomheden er sikkerhedsfokuseret.
DORA dækker også væsentlige aspekter af forvaltning af cybersikkerheden og reaktionsmuligheder, f.eks. informationsdeling (se artikel 40).
Hvad bliver det næste for DORA?
Forordningen har en gennemførelsesperiode på 24 måneder for finansielle enheder og deres kritiske tredjepartstjenesteudbydere fra lovens ikrafttrædelse. Derfor anbefales det, at de omfattede enheder bruger de 24 måneder mellem datoen for lovens ikrafttræden og gennemførelsen af foranstaltninger, der opfylder kravene, til at foretage en analyse af hullet: foranstaltninger som f.eks. trusselsstyret penetrationstest og strenge rapporteringsregler kan ellers falde igennem dette hul.
