Digital Operation Resilience Act (DORA) är ren EU-förordning som börjar gälla den 17 januari 2025. Att det är en EU-förordning innebär att det är en lagstiftning på EU-nivå som gäller direkt och inte behöver omvandlas eller anpassas nationellt.
DORA gäller för alla finansiella institut i EU, Banker, försäkringsbolag etc. samt alla driftorganisationer som levererar it-stöd till finansiella institut.
Syftet med DORA är att göra hanteringen av finanser inom EU än mer motståndskraftig mot olika typer av risker och hot. Förordningen räknar upp ett stort antal punkter om varför denna förordning ska finnas samt även ett antal rekommendationer om hur förordningen bör hanteras. Allt detta i de 106 första punkterna.
Det bör även påpekas att till denna förordning utarbetas det ett antal tekniska standarder som mer tydligt kommer att visa kraven (Vad) och även tala om Hur dessa kan implementeras.
Varje land kommer att ha en tillsynsmyndighet. I Sverige är det Finansinspektionen (FI) som har fått uppdraget. Förutom tillsyn och övervakning kommer FI att ge vägledning till företag och även samarbeta med andra relevanta myndigheter, både inom Sverige men även i EU.
Kort om DORA
DORA vilar på fem pelare – eller områden – nämligen:
- IT Riskhantering
- Hantering av IT relaterade incidenter
- Regelbundna tester av digital operativ motståndskraft
- Hantering av risker från leverantörer till IT
- Informationsdelning
Genomgående för dessa fem pelare riskhantering. Förutom i första punkten så återfinns riskhantering i alla övriga.
Detta torde inte vara nytt för finansiella institut som under årtionden levt med krav och förordningar. Även riskhantering ligger högt på agendan för dessa. Viktigt dock att komma ihåg att alla IT-leverantörer även har att följa DORA. Men ansvaret kommer hela tiden att vila på det finansiella institutet.
Hur förbereder man sig?
Först och främst måste tid och resurser avsättas. Normalt sätt ”räcker det med” att ett förändringsprojekt är sanktionerat från ledningen men här finns både rekommendationer att utse en ”Chief Risk Officer” i organisationens ledning som tillskansar sig all relevant kunskap om ramverk för riskhantering – och håller den uppdaterad, till krav på att ledningen ska godkänna, övervaka och regelbundet revidera både kontinuitetspolicy samt återställningsplaner etc.
Därefter bör en sedvanlig GAP-analys genomföras för att belysa områden som behöver fokuseras på. Resultatet ska ligga till grund för ett projekt vars uppgift blir att säkerställa överensstämmelse med förordningen till det givna slutdatumet den 17 januari 2025.
Aktiviteterna i själva projektet kommer med största sannolikhet att vila på innehållet i två ISO-standarder, nämligen ISO/IEC 27001 (Ledningssystem för informationssäkerhet) samt ISO 22301 (Ledningssystem för kontinuitetshantering). Till det lägger vi aktiviteter för att arbeta med incidenthantering och även information rörande bland annat cyberattacker.
Hur kan BiTA hjälp till?
Vi sparar det bästa till sist!
BiTA har dokumenterat mångårig erfarenhet av att arbeta med att hjälpa organisationer med att implementera ledningssystem och att arbeta med kontinuitetshantering. Vi har experter inom informationssäkerhet och vi utbildar och certifierar oss inom DORA. Våra konsulter är vana att arbeta med förändringsprojekt och vi har hjälpt organisationer att bli certifierade enligt olika standarder.
Kontakta oss gärna för mer information!
0705-70 76 72