17. januar trer de nye kravene i EU-forordningen Digital Operational Resilience Act (DORA) i kraft. Regelverket er kommet på plass for å gjøre finanssektoren i EU og EØS mer digitalt robust.
For selskaper i Norge og EU innebærer dette strenge sikkerhetskrav og risikohåndtering for å beskytte mot cybertrusler.
Ifølge Sigrun Hansen Bock, sikkerhetsdirektør i Tietoevry, handler DORA om å styrke digital motstandskraft mot cybertrusler – et mål som er særlig viktig for finanssektoren, der digitale prosesser og systemer er tett sammenvevd.
– DORA er et rammeverk for å sikre at finanssektoren har tilstrekkelig robusthet mot digitale trusler. Regelverket harmoniserer prosessene på tvers av nasjonale grenser og skaper et felles regelverk som styrker motstandskraften, sier Bock til Finansavisen.
– Må ha kontroll
Forordningen er delt opp i fem hovedområder, som omfatter blant annet risikovurdering, hendelseshåndtering, testing, samarbeid med tredjeparter, samt deling av informasjon og beste praksis på tvers av bransjen.
– Dette høres omfattende ut. Hvordan vil dette redusere risiko og kostnader?
– Det handler om å ha kontroll. Hvis man har oversikt over IT-miljøet sitt, kan man både øke innovasjonstakten og sikre at man er rustet mot risiko, sier Bock.
Bock påpeker at DORA ikke bare handler om å oppfylle compliance-krav, men om å etablere en kultur for risikohåndtering i hele virksomheten.
– Hvis man bare fokuserer på å krysse av på sjekklister, mister man verdien av arbeidet. DORA krever aktive handlinger. Dette kan gi en bedre forståelse av risiko, i stedet for kun å fokusere på compliance, legger hun til.
– Mye usikkerhet
En betydelig utfordring for mange selskaper blir testing av IT-systemene for å sikre at de er robuste nok. For noen kan dette innebære store investeringer i sikkerhetstiltak og eksterne leverandører.
I en kronikk fra advokat Ove André Vanebo, fra mars i fjor, skriver han om de potensielt høye kostnadene ved implementeringen av forordningen. Vanebo peker på at finansforetakene allerede har et godt grunnlag gjennom eksisterende regelverk som IKT-forskriften, men at DORA stiller langt mer detaljerte krav.
«Finanstilsynet mener regelverket kan føre til lavere risiko for skadelige IKT-hendelser, og dermed gi besparelser for foretakene. Basert på de detaljerte kravene, vil det overraske meg om ikke totalpakken blir netto dyrere for foretakene,» skriver den tidligere FpU-lederen.
Overfor Finansavisen utdyper Vanebo, og sier at det fortsatt er mye usikkerhet og forvirring rundt DORA.
– Det er fortsatt usikkert om regelverket innebærer noe helt nytt, eller om man kan bruke det man allerede har. Nå begynner det å komme veiledere fra EU, som tyder på at det er en del nye krav vi må forholde oss til, sier han.
– Jeg hadde trodd at det kom til å være mye mer henvendelser i fjor. Men det vi ser, er at når reglene begynner å gjelde i EU, begynner folk å få litt panikk, og så ringer de oss først nå, legger han til.
Må prioritere
Bock er enig i at kostnadene vil variere, men mener det er viktig å se på DORA som en mulighet til å styrke virksomhetens IT-struktur. For små selskaper kan det være en utfordring å ha nok ressurser internt, men hun anbefaler en forenklet tilnærming.
– For små selskaper handler det om å prioritere de viktigste forretningsprosessene. Identifiser hva som er kritisk for at selskapet skal fungere, og fokuser på det. Ikke tenk på DORA som et gigantisk compliance-prosjekt, men som en måte å sikre at kjerneprosesser fungerer trygt, sier sikkerhetsdirektøren.
En viktig del av DORA er også håndteringen av tredjepartsleverandører. Mange finansforetak er avhengige av outsourcet IT-drift, og DORA pålegger selskapene å inngå detaljerte avtaler med leverandører for å sikre at de etterlever strenge sikkerhetsstandarder.
– Dette gir en mulighet til å få bedre kontroll over risiko og IT. Det er en sjanse til å gjennomgå hva man faktisk driver med, hvor avhengig man er av digitale løsninger, og hva som må til for å sikre overlevelse dersom noe uforutsett skjer.
– Hold fokus
Bock tror ikke det nye regelverket vil sette europeiske selskaper i en dårligere posisjon globalt, men snarere en fordel. Regelverket bygger på internasjonalt kjente standarder, og hun peker på at mange amerikanske reguleringer er like strenge, særlig når det gjelder IT-sikkerhet.
– Den største forskjellen ligger på personvern, der vi i Europa har GDPR, som er mer omfattende. Men når det gjelder regelverk som DORA eller NIS2, finnes det veldig like og strenge krav i USA, sier Bock.
Videre mener Bock at selskaper må fokusere på det som faktisk skaper verdi i implementeringen, i stedet for å bruke det som en anledning til å rydde opp i alt mulig annet.
– DORA er ment å styrke virksomhetene, ikke å straffe dem. Hvis man klarer å implementere kravene på en smart måte, kan det gi både økt sikkerhet og konkurransefortrinn, sier Bock som påpeker at nøkkelen for mindre selskaper blir å avgrense prosjektet og fokusere på de viktigste prosessene.
– Det kan være fristende å bruke DORA til å rydde opp i alt, men det er viktig å holde fokus. Ikke gjør prosjektet større enn det må være, legger hun til.