Tillbaka
Utbildning och programvara för cybersäkerhet för företag | MetaCompliance

Produkter

Upptäck vårt utbud av skräddarsydda lösningar för utbildning i säkerhetsmedvetenhet, utformade för att stärka och utbilda ditt team mot moderna cyberhot. Från policyhantering till phishing-simuleringar - vår plattform förser din personal med de kunskaper och färdigheter som behövs för att skydda din organisation.

Cyber security eLearning

Cyber Security eLearning för att utforska vårt prisbelönta eLearning-bibliotek, skräddarsytt för varje avdelning

Automatisering av säkerhetsmedvetenhet

Planera din årliga medvetenhetskampanj med några få klick

Simulering av nätfiske

Stoppa nätfiskeattacker i deras spår med prisbelönt programvara för nätfiske

Förvaltning av politik

Samla dina policyer på ett ställe och hantera policyernas livscykler på ett enkelt sätt

Förvaltning av sekretess

Kontrollera, övervaka och hantera efterlevnad med enkelhet

Hantering av incidenter

Ta kontroll över interna incidenter och åtgärda det som är viktigt

Tillbaka
Industri

Industrier

Utforska mångsidigheten hos våra lösningar inom olika branscher. Från den dynamiska tekniksektorn till sjukvården - ta del av hur våra lösningar skapar vågor i flera sektorer. 


Finansiella tjänster

Skapa en första försvarslinje för organisationer inom finansiella tjänster

Regeringar

En Go-To-lösning för säkerhetsmedvetenhet för myndigheter

Företag

En lösning för utbildning i säkerhetsmedvetande för stora företag

Arbetstagare på distans

Skapa en kultur av säkerhetsmedvetenhet - även i hemmet

Utbildningssektorn

Engagerande utbildning i säkerhetsmedvetenhet för utbildningssektorn

Arbetstagare inom hälso- och sjukvården

Se vår skräddarsydda säkerhetsmedvetenhet för anställda inom hälso- och sjukvården

Teknikindustrin

Förändrad utbildning i säkerhetsmedvetenhet inom teknikindustrin

Överensstämmelse med NIS2

Stöd era krav på efterlevnad av Nis2 med initiativ för ökad medvetenhet om cybersäkerhet

Tillbaka
Resurser

Resurser

Från affischer och policyer till ultimata guider och fallstudier, våra kostnadsfria medvetenhetstillgångar kan användas för att förbättra medvetenheten om cybersäkerhet inom din organisation.

Medvetenhet om cybersäkerhet för Dummies

En oumbärlig resurs för att skapa en kultur av cybermedvetenhet

Dummies guide till cybersäkerhet Elearning

Den ultimata guiden för att implementera effektiv cybersäkerhet Elearning

Ultimat guide till nätfiske

Utbilda medarbetarna i hur man upptäcker och förhindrar nätfiskeattacker

Gratis affischer för medvetenhet

Ladda ner dessa kostnadsfria affischer för att öka medarbetarnas vaksamhet

Policy mot nätfiske

Skapa en säkerhetsmedveten kultur och öka medvetenheten om hot mot cybersäkerheten

Fallstudier

Hör hur vi hjälper våra kunder att skapa positiva beteenden i sina organisationer

Terminologi för cybersäkerhet A-Z

En ordlista över termer inom cybersäkerhet som du måste känna till

Cybersäkerhet beteende mognadsmodell

Granska din utbildning i medvetenhet och jämför din organisation med bästa praxis

Gratis saker

Ladda ner våra kostnadsfria verktyg för att förbättra medvetenheten om cybersäkerhet i din organisation

Tillbaka
MetaCompliance | Utbildning och programvara för cybersäkerhet för anställda

Om

Med 18+ års erfarenhet av marknaden för cybersäkerhet och efterlevnad erbjuder MetaCompliance en innovativ lösning för personalens medvetenhet om informationssäkerhet och automatisering av incidenthantering. MetaCompliance-plattformen skapades för att möta kundernas behov av en enda, heltäckande lösning för att hantera de mänskliga riskerna kring cybersäkerhet, dataskydd och efterlevnad.

Varför välja oss

Lär dig varför Metacompliance är den betrodda partnern för utbildning i säkerhetsmedvetenhet

Specialister på medarbetarengagemang

Vi gör det enklare att engagera medarbetarna och skapa en kultur av cybermedvetenhet

Automatisering av säkerhetsmedvetenhet

Automatisera utbildning i säkerhetsmedvetenhet, nätfiske och policyer på några minuter

Ledarskap

Möt MetaCompliance Leadership Team

MetaBlog

Håll dig informerad om ämnen för utbildning i cybermedvetenhet och minska riskerna i din organisation.

Vad är DORA-lagen (Digital Operational Resilience Act)?

DORA

om författaren

Dela detta inlägg

DORA påverkar EU:s sektor för finansiella tjänster, och denna lagstiftning är på väg att slå vågor i finansbranschen. Här är en titt på några av de DORA-förpliktelser som finansinstitut måste följa.

Finanssektorn har länge varit en teknikinnovatör och en föregångare. Framsteg inom bank- och finanssektorn har inneburit att den digitala omvandlingen inom branschen har gått framåt. Men ny teknik och nya arbetssätt lockar cyberkriminella. Resultatet är att attackerna mot finanssektorn ökar kraftigt.

Under 2021 kommer banksektorn att uppleva enökning av attacker med utpressningstrojaner med1 318 % , och 65 % av de stora finansiella organisationerna upplevde en cyberattack under 2020. Den allvarliga karaktären hos de alltmer komplexa och skadliga cyberattackerna inom den finansiella sektorn har lett till att ny lagstiftning har kommit in i lexikonet för reglering av finansiella tjänster, och dess namn är DORA (Digital Operational Resilience Act).

DORA-principer

Det första utkastet till DORA offentliggjordes den 24 september 2020, och den 10 september 2022 godkände Europaparlamentet det. Lagstiftningen kommer att spela en central roll i det "digitala finanspaketet", som används för att möjliggöra innovation och konkurrens inom digital finansiering och samtidigt minska de risker som uppstår till följd av branschens digitalisering.

Artikel 114 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) används som rättslig grund för DORA. Lagstiftningen är inriktad på att harmonisera riktlinjerna för cybersäkerhet inom hela sektorn. 

EU använder gärna regleringsmetoder för att konsolidera och harmonisera bästa praxis; GDPR är ett exempel på en harmoniserad dataskyddsförordning; DORA är EU:s försök att konsolidera och uppgradera riskhanteringen för IKT inom hela den finansiella sektorn, och DORA påverkar EU:s finansiella tjänsteföretag och deras (kritiska) IKT-leverantörer.

DORA kommer att kräva att företag inom den finansiella sektorn genomför åtgärder som skyddar dem mot IKT-relaterade risker: DORA utvidgar kraven till att omfatta tredje parter, t.ex. molnleverantörer.

Vilka skyldigheter kräver DORA av finanssektorn?

Målet är att skapa en motståndskraftig miljö i hela ekosystemet för finansiella tjänster. Den underliggande ramen för DORA bygger på en uppsättning regler som är utformade för att hjälpa finansinstitut att utveckla robusta riskhanteringsprocesser. Några av de centrala kraven och täckningen i DORA är följande:

DORA:s räckvidd

Nästan alla typer av finansiella enheter kommer att omfattas av DORA. Till de enheter som omfattas hör kreditinstitut, betalningsinstitut, institut för elektroniska pengar, värdepappersföretag, leverantörer av tjänster för kryptotillgångar, alternativa investeringsfonder, försäkringsförvaltare osv. Undantaget är revisorer, som för närvarande inte omfattas av DORA-reglerna, men detta kommer sannolikt att ändras i framtida versioner av lagen. För en fullständig förteckning över de enheter som omfattas, se artikel 2 i DORA.

IKT-leverantörer som tillhandahåller tjänster till enheter som omfattas av DORA måste också följa lagen. IKT-leverantörer betraktas som centrala för finanssektorn och omfattas därför av stränga regler enligt DORA. Kritiska IKT-tjänsteleverantörer från länder utanför EU som tillhandahåller finansiella enheter i EU måste etablera ett dotterbolag inom EU.

IKT-leverantörer och DORA

Riskhantering för tredje part är en viktig del av DORA. Fokuseringen på IKT-leverantörer är en reaktion på ökningen av attacker i leveranskedjan, t.ex. uppdateringen av SolarWinds Orion-programvaran. Europeiska unionens byrå för cybersäkerhet (ENISA) rapporterade om en ökad sofistikering och volym av leveranskedjeattacker, där angriparna riktar in sig på leveranskedjan för att stjäla data och finansiella tillgångar. DORA samordnar kraven med hjälp av befintliga ramar, t.ex. riktlinjerna för utkontraktering från Europeiska bankmyndigheten (EBA). (Se även artikel 14 i DORA)

Enligt DORA kan finansföretag definiera vissa IKT-leverantörer som "kritiska". En kritisk IKT-leverantör som betjänar en DORA-täckt enhet kommer därför att omfattas av stränga regler som tillämpas genom direkt samarbete med EU:s myndigheter för finansiella tjänster (FS).

Viktiga åtgärder för cybersäkerhet

De centrala värderingarna i DORA-lagstiftningen är att upprätthålla motståndskraftiga IKT-system. För att uppnå detta har följande riktlinjer fastställts:

Riskhantering och motståndskraft

Kärnan i DORA är riktlinjer för riskhantering för att hjälpa sektorn för finansiella tjänster att bygga upp mer motståndskraftiga infrastrukturer. De resulterande riskhanteringsprogrammen och riskbedömningarna används som grund för tester av motståndskraft. Dessutom förväntar sig lagstiftningen att det ska genomföras analyser av verksamhetskonsekvenser som bygger på scenarier för "allvarliga störningar i verksamheten".

Resiliens- och sårbarhetstester förväntas utföras av oberoende experter och inbegripa regelbundna hotledda penetrationstester. Det är viktigt att alla kritiska IKT-system testas årligen.

Skyddsåtgärder (se även artikel 8)

Exempel på skyddsåtgärder som krävs är följande:

  • Använd lämpliga och omfattande policyer för patchar och uppdateringar.
  • Implementera policyer och protokoll för starka autentiseringsmekanismer.
  • Följ ett riskbaserat tillvägagångssätt för att skapa en sund förvaltning av nätverk och infrastruktur.
  • Genomföra strategier som begränsar den fysiska och virtuella tillgången till IKT-systemresurser och data.
  • Förhindra informationsläckage

IKT-hantering av olyckor

Artikel 15 innehåller detaljerade krav på hantering och kontroll av säkerhetsincidenter, inklusive förfaranden för att "upptäcka, hantera och anmäla IKT-relaterade incidenter och införa indikatorer för tidig varning som varningar".

Rapportering av cybersäkerhetsincidenter

De berörda enheterna måste tillhandahålla ett sätt att övervaka, beskriva och rapportera alla betydande IKT-baserade incidenter till relevanta myndigheter. Rapporteringsreglerna är strängare för leverantörer av kritisk IKT. De omfattar en första anmälan senast vid slutet av arbetsdagen eller, om den betydande händelsen inträffade senare än två timmar före arbetsdagens slut, senast fyra timmar från början av nästa arbetsdag.

Därefter krävs en mellanrapport senast en vecka efter det första meddelandet, följt av en slutrapport när orsaksanalysen har slutförts senast en månad efter det att den första rapporten skickats.

Ansvar för förvaltning och säkerhet

DORA innebär att ansvaret för IKT-risker och cyberhot läggs på ledningsgruppen för finansiella tjänster. Genom att erbjuda utbildning i säkerhetsmedvetenhet kan man se till att C-nivån och hela företaget är säkerhetsfokuserat.

DORA omfattar också viktiga aspekter av förvaltning och respons på cybersäkerhet, t.ex. informationsutbyte (se artikel 40).

Vad händer härnäst med DORA?

Förordningen har en genomförandeperiod på 24 månader för finansiella enheter och deras kritiska tredjepartstjänsteleverantörer från och med att lagstiftningen tas i bruk. Därför rekommenderas de berörda enheterna att använda de 24 månaderna mellan det datum då lagstiftningen träder i kraft och genomförandet av åtgärder som uppfyller kraven för att göra en analys av bristerna: åtgärder som hotstyrd penetrationstestning och stränga rapporteringsregler skulle annars kunna falla igenom denna lucka.

Utbildning i säkerhetsmedvetenhet för tredjepartsleverantörer

Andra artiklar om utbildning i medvetenhet om cybersäkerhet som du kanske finner intressanta