<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-W3GDQPF" height="0" width="0" style="display:none;visibility:hidden">

EU skjerper sikkerheten for finansforetakene

På fredag skjerper EU kravene til finanssektoren. – Det handler om å ha kontroll, sier sikkerhetsekspert. 

Publisert 14. jan.
Lesetid: 4 minutter
Artikkellengde er 4 ord
Article lead
+ mer
lead
NY KRAV: På fredag trer EUs nye regelverk for finansbransjen i kraft, som skal gjøre finansforetakene mer robuste mot digitale trusler.  Foto: Dreamstime
NY KRAV: På fredag trer EUs nye regelverk for finansbransjen i kraft, som skal gjøre finansforetakene mer robuste mot digitale trusler.  Foto: Dreamstime

17. januar trer de nye kravene i EU-forordningen Digital Operational Resilience Act (DORA) i kraft. Regelverket er kommet på plass for å gjøre finanssektoren i EU og EØS mer digitalt robust. 

For selskaper i Norge og EU innebærer dette strenge sikkerhetskrav og risikohåndtering for å beskytte mot cybertrusler. 

– SIKRER MOT DIGITALE TRUSLER: Sigrun Hansen Bock, sikkerhetsdirektør i Tietoevry. Foto: Tietoevry

Ifølge Sigrun Hansen Bock, sikkerhetsdirektør i Tietoevry, handler DORA om å styrke digital motstandskraft mot cybertrusler – et mål som er særlig viktig for finanssektoren, der digitale prosesser og systemer er tett sammenvevd.

– DORA er et rammeverk for å sikre at finanssektoren har tilstrekkelig robusthet mot digitale trusler. Regelverket harmoniserer prosessene på tvers av nasjonale grenser og skaper et felles regelverk som styrker motstandskraften, sier Bock til Finansavisen.

– Må ha kontroll

Forordningen er delt opp i fem hovedområder, som omfatter blant annet risikovurdering, hendelseshåndtering, testing, samarbeid med tredjeparter, samt deling av informasjon og beste praksis på tvers av bransjen.

– Dette høres omfattende ut. Hvordan vil dette redusere risiko og kostnader?

– Det handler om å ha kontroll. Hvis man har oversikt over IT-miljøet sitt, kan man både øke innovasjonstakten og sikre at man er rustet mot risiko, sier Bock. 

Bock påpeker at DORA ikke bare handler om å oppfylle compliance-krav, men om å etablere en kultur for risikohåndtering i hele virksomheten.

– Hvis man bare fokuserer på å krysse av på sjekklister, mister man verdien av arbeidet. DORA krever aktive handlinger. Dette kan gi en bedre forståelse av risiko, i stedet for kun å fokusere på compliance, legger hun til. 

– Mye usikkerhet

En betydelig utfordring for mange selskaper blir testing av IT-systemene for å sikre at de er robuste nok. For noen kan dette innebære store investeringer i sikkerhetstiltak og eksterne leverandører.

en kronikk fra advokat Ove André Vanebo, fra mars i fjor, skriver han om de potensielt høye kostnadene ved implementeringen av forordningen. Vanebo peker på at finansforetakene allerede har et godt grunnlag gjennom eksisterende regelverk som IKT-forskriften, men at DORA stiller langt mer detaljerte krav.

FÅR HENVENDELSER: Ove André Vanebo i Kluge Advokatfirma. Foto: Kluge Advokatfirma

«Finanstilsynet mener regelverket kan føre til lavere risiko for skadelige IKT-hendelser, og dermed gi besparelser for foretakene. Basert på de detaljerte kravene, vil det overraske meg om ikke totalpakken blir netto dyrere for foretakene,» skriver den tidligere FpU-lederen. 

Overfor Finansavisen utdyper Vanebo, og sier at det fortsatt er mye usikkerhet og forvirring rundt DORA.

– Det er fortsatt usikkert om regelverket innebærer noe helt nytt, eller om man kan bruke det man allerede har. Nå begynner det å komme veiledere fra EU, som tyder på at det er en del nye krav vi må forholde oss til, sier han. 

– Jeg hadde trodd at det kom til å være mye mer henvendelser i fjor. Men det vi ser, er at når reglene begynner å gjelde i EU, begynner folk å få litt panikk, og så ringer de oss først nå, legger han til.

Må prioritere

Bock er enig i at kostnadene vil variere, men mener det er viktig å se på DORA som en mulighet til å styrke virksomhetens IT-struktur. For små selskaper kan det være en utfordring å ha nok ressurser internt, men hun anbefaler en forenklet tilnærming.

– For små selskaper handler det om å prioritere de viktigste forretningsprosessene. Identifiser hva som er kritisk for at selskapet skal fungere, og fokuser på det. Ikke tenk på DORA som et gigantisk compliance-prosjekt, men som en måte å sikre at kjerneprosesser fungerer trygt, sier sikkerhetsdirektøren.

En viktig del av DORA er også håndteringen av tredjepartsleverandører. Mange finansforetak er avhengige av outsourcet IT-drift, og DORA pålegger selskapene å inngå detaljerte avtaler med leverandører for å sikre at de etterlever strenge sikkerhetsstandarder.

– Dette gir en mulighet til å få bedre kontroll over risiko og IT. Det er en sjanse til å gjennomgå hva man faktisk driver med, hvor avhengig man er av digitale løsninger, og hva som må til for å sikre overlevelse dersom noe uforutsett skjer.

– Hold fokus

Bock tror ikke det nye regelverket vil sette europeiske selskaper i en dårligere posisjon globalt, men snarere en fordel. Regelverket bygger på internasjonalt kjente standarder, og hun peker på at mange amerikanske reguleringer er like strenge, særlig når det gjelder IT-sikkerhet.

– Den største forskjellen ligger på personvern, der vi i Europa har GDPR, som er mer omfattende. Men når det gjelder regelverk som DORA eller NIS2, finnes det veldig like og strenge krav i USA, sier Bock.

Videre mener Bock at selskaper må fokusere på det som faktisk skaper verdi i implementeringen, i stedet for å bruke det som en anledning til å rydde opp i alt mulig annet.

– DORA er ment å styrke virksomhetene, ikke å straffe dem. Hvis man klarer å implementere kravene på en smart måte, kan det gi både økt sikkerhet og konkurransefortrinn, sier Bock som påpeker at nøkkelen for mindre selskaper blir å avgrense prosjektet og fokusere på de viktigste prosessene.

– Det kan være fristende å bruke DORA til å rydde opp i alt, men det er viktig å holde fokus. Ikke gjør prosjektet større enn det må være, legger hun til.