DORA: hva finansbedrifter må ha på plass
DORA-forordningen stiller strenge krav til digital operasjonell motstandsdyktighet i finanssektoren — og treffer også IT-leverandørene deres. Vi forklarer hva som kreves.
DORA (Digital Operational Resilience Act) er EUs forordning for digital motstandsdyktighet i finanssektoren. Målet er at banker, forsikring, betalingsforetak og deres leverandører skal tåle, svare på og komme seg etter IT-hendelser uten at det truer finansiell stabilitet.
Det viktigste skiftet er at ansvaret er konkret og dokumentasjonskravet høyt. Det holder ikke å «ha sikkerhet» — du må kunne vise styringssystem, risikovurderinger, hendelseshåndtering med rapporteringsfrister, og testing av motstandsdyktigheten. Ledelsen er ansvarlig.
DORA treffer også leverandørkjeden. Bruker du en IT-leverandør (drift, sky, programvare), må kontraktene og leverandørstyringen oppfylle DORAs krav — og kritiske IKT-leverandører kan bli direkte underlagt tilsyn. Er du underleverandør til finans, kommer kravene til deg via avtale.
De fire kjerneområdene koker ned til: (1) IKT-risikostyring, (2) hendelseshåndtering og rapportering, (3) testing av digital motstandsdyktighet, og (4) styring av tredjepartsrisiko. I praksis: dokumenterte rutiner, deteksjon og respons, og en testet plan for hva som skjer når — ikke om — noe svikter.
Start med en gap-analyse mot DORA-kravene, og prioriter tredjepartsstyringen tidlig — den tar lengst tid. ECIT hjelper finansvirksomheter og deres underleverandører med å kartlegge DORA-eksponering, etablere styring og sette opp deteksjon og hendelseshåndtering som faktisk møter kravene.