I januar ble Danmarks sentralbank rammet av hackerangrep. I februar ble svenskenes Bank-ID rammet, og det samme skjedde i Norge i fjor. Eksemplene tydeliggjør det digitale trusselbildet for finansielle tjenester her i Europa. Informasjonssikkerheten må tas på alvor, og finansiell stabilitet må sikres på en helhetlig måte. Derfor skal EU lansere Digital Operational Resilience Act (DORA) i 2025.
DORA vil gjelde fra januar 2025 i EU, mens i Norge kan det ta noe lenger tid før regelverket innføres. Manglende etterlevelse vil imidlertid bli kostbart. Brudd kan føre til administrative gebyrer og tilbakekallelse av konsesjon. Virksomheter bør allerede nå begynne å forberede seg.
Fragmentert norsk lovgivning
Det finnes ikke et helhetlig norsk regelverk som stiller krav til IKT-sikkerhet på tvers av sektorer. Sikkerhetsloven beskytter mot tilsiktede handlinger, og IKT-forskriften stiller krav til risikoanalyser hos finansinstitusjoner. Ellers er lovgivningen fragmentert. Lov om digital sikkerhet er lagt ut på høring for å implementere EUs NIS-direktiv i norsk rett. EUs NIS-direktiv gjelder for samfunnskritiske virksomheter, uavhengig av sektor, og for noen IKT-leverandører som må sette i gang enkelte sikkerhetstiltak og varsle ved store digitale sikkerhetshendelser. Med DORA har EU vedtatt et sektorspesifikt regelverk for finanssektoren.
Mener de nærmer seg «gullstandard»: – Ingen gjør dette bedre i Europa
DORA treffer bredt
DORA gjelder for 21 kategorier av finansielle virksomheter som typisk hører inn under Finanstilsynets område. Dette omfatter banker og kredittinstitusjoner, betalingsforetak, investeringsselskap, verdipapirhandelsforetak, forvaltningsselskaper, pensjonsfond, forsikringsselskap, revisjonsselskap, tilbydere av kryptovaluta og inkassobyråer. IKT-leverandører blir også underlagt DORA om de leverer tjenester for driftskritiske funksjoner til finanssektoren.
Et helhetlig rammeverk
DORA gjelder for finansielle virksomheter i EU og finansielle virksomheter utenfor EU som driver denne typen virksomhet i EU. Finansielle virksomheter som er underlagt DORA, må blant annet etablere rutiner for å oppfylle krav til risikostyring for informasjons- og kommunikasjonssystemer. Virksomheten må også operasjonalisere og gjennomføre testing av IKT-systemenes sikkerhet, varsle ved store sikkerhetshendelser og etablere prosesser for overvåkning og styrking av sine leverandører.
Cyberangrep på det grønne skiftet
IKT-leverandører utenfor EU er også omfattet om de leverer tjenester til finansielle virksomheter i EU-landene. Leverandører av digitale virksomheter ansett som kritiske blir pålagt krav til informasjonssikkerhet, risikostyring, hendelseshåndtering og rapportering, testing og revisjon gjennom Oversight Framework.
Virksomheter underlagt DORA kan og bør starte prosessen allerede nå. Et første skritt er å opprette eller videreføre en styringsstruktur med mandat fra virksomhetens ledelse. Deretter bør man gjennomføre en GAP-analyse som vurderer hvilke løsninger, prosesser og kontroller som allerede er til stede, og så sette dem opp mot hvilke krav og anbefalinger som stilles gjennom DORA og andre regulatoriske krav.
Funn i en slik analyse vil danne utgangspunktet for hvordan man skal prioritere arbeidet. Virksomheten bør fokusere på hva som er kritisk og om det er lavthengende frukt man kan håndtere raskt. Arbeidet vil være en kontinuerlig prosess som må videreutvikles basert på regelendringer, tekniske standarder fra finansmyndigheter, teknologisk utvikling og endringer i trusselbildet.
Når DORA trer i kraft fra januar 2025 i EU, bør mange virksomheter ha iverksatt betydelige forberedelser. Selv om innføringen i Norge kan ta lenger tid, bør ikke norske virksomheter henge etter.
Fem råd for bedre leverandørsikkerhet
