– Ettersom det digitale landskapet stadig utvikler seg, blir det avgjørende å beskytte systemer mot svindel og cybertrusler, skriver Puzzel.
«DORA» refereres til Digital Operational Resilience Act, en EU-forordning som har som mål å styrke den digitale operasjonelle motstandskraften i finanssektoren.
DORA stiller krav til cybersikkerhet, operasjonell risiko og beredskapsplanlegging. Dette innebærer at kundesentre må være mer robuste og sikre i sin teknologiske infrastruktur, spesielt når det gjelder databehandling, håndtering av kundeinformasjon og IT-sikkerhet.
Siden Norge ofte tilpasser seg EU-regelverk, er det sannsynlig at DORA også vil få innflytelse på norske finansaktører. For kundesentre vil dette kunne bety investeringer i teknologiløsninger, bedre IT-sikkerhet og mer fokus på kontinuitet og motstandskraft i digitale tjenester.
Hensikten med DORA
Finanssektoren er i økende grad avhengig av digitale systemer for å levere tjenester, og benytter seg av IKT-verktøy (informasjon- og kommunikasjonsteknologi).
For å forhindre svindel og beskytte sensitiv informasjon må finansielle tjenesteleverandører sørge for at deres digitale løsninger er sikre og i samsvar med loven.
Med DORA ønsker EU å etablere et universelt reguleringsrammeverk for å redusere risikoer forbundet med cybertrusler og operasjonelle forstyrrelser i finansbransjen.
Ved å sette klare standarder for operasjonell motstandsdyktighet, hendelsesrapportering og samarbeid over landegrensene, har DORA som mål å styrke tillit, stabilitet og sikkerhet i finansielle tjenester på tvers av EU.
Hva er DORA?
DORA, Digital Operational Resilience Act, trådte i kraft 16. januar 2023 og vil gjelde fra 17. januar 2025.
Dette gir finansinstitusjoner og tredjepartsleverandører av IKT-tjenester tid til å tilpasse seg kravene.
Å implementere strategier for overholdelse av DORA er avgjørende for å møte denne fristen.
DORA gjelder finansielle tjenesteleverandører i EU, inkludert tradisjonelle finansinstitusjoner som banker, forsikringsselskaper og kredittinstitusjoner, samt nye aktører som crowdfunding-plattformer og leverandører av kryptotjenester.
Den omfatter også tredjepartsleverandører som leverer IKT-tjenester til finansielle virksomheter, som skytjenesteleverandører og datasentre.
Hovedområder i DORA
DORA-reguleringen inneholder tekniske krav innen fem hovedområder:
- IKT-risikostyring og styring: Finansinstitusjoner er ansvarlige for sin egen IKT-risikostyring og må definere og gjennomføre risikohåndteringsstrategier.
- Håndtering av hendelser: Finansinstitusjoner må etablere prosesser for å håndtere, overvåke og rapportere IKT-relaterte hendelser.
- Testing av digital motstandsdyktighet: Regelmessig testing av IKT-systemer er nødvendig for å identifisere sårbarheter og styrke beskyttelsen.
- Håndtering av tredjepartsrisiko: Institusjoner må utvikle strategier for å håndtere risiko knyttet til eksterne leverandører.
- Informasjonsdeling: Det er tillatt å etablere prosesser for å dele informasjon om cybertrusler mellom finansielle aktører.
Hvorfor DORA er viktig
Å overholde DORA er viktig for finansielle tjenesteleverandører i EU av flere grunner:
- Forbedret cybersikkerhet: DORA fokuserer på å forhindre cybertrusler i finanssektoren.
- Kundetillit: Overholdelse av DORA kan styrke kundelojaliteten ved å sikre trygg håndtering av kundedata.
- Reduksjon av risiko: DORA fremmer proaktiv IKT-risikostyring og reduserer sjansen for operasjonelle feil.
- Regulatorisk samsvar: Unnlatelse av å overholde DORA kan føre til bøter og skade på omdømmet.
– Viktig skritt for å beskytte finanssektoren mot økende digitale risikoer
– DORA er et viktig skritt for å beskytte finanssektoren mot økende digitale risikoer, skriver Puzzel.
Forberedelser til overholdelse av DORA bør starte umiddelbart for å sikre en robust digital motstandsdyktighet.
– Dette vil ikke bare forbedre sikkerheten, men også bidra til et mer stabilt og pålitelig finansielt økosystem, avslutter Puzzel.