Kontakt Globeteam
Kontakt konsulenter
Linkedin Youtube Facebook-f Instagram
Globeteam logo
  • Punkt #1
  • Punkt #1
  • Punkt #1
  • Punkt #1
Kontakt Globeteam
Kontakt konsulenter
Linkedin Youtube Facebook-f Instagram
Søg
Close this search box.
Globeteam logo
  • Punkt #1
  • Punkt #1
  • Punkt #1
  • Punkt #1

Globeteam

DORA

Tue Jagtfelt, Risk & Security, Globeteam

Kontakt mig gerne, hvis du vil høre mere

Compliance

DORA: Ny forordning og nye krav til den finansielle sektor

Er du en del af den finansielle sektor eller leverandør til sektoren vil den nyligt adopterede DORA-forordning – Digital Operational Resilience Act – sætte nye og skærpede krav til digital operationel modstandsdygtighed i jeres organisation og for jeres services. DORA-forordningen blev adopteret som EU-regulering d. 16. januar 2023 og vil træde i kraft den 17. januar 2025.

Ligesom med NIS2 er formålet med forordningen at sikre kritisk infrastruktur, men rettet specifikt mod den finansielle sektor. Forordningen sætter således en ny og ensartet standard på tværs af den finansielle sektor – og dennes kritiske leverandører. DORA sigter tillige efter at højne sikkerheden som led i den stadigt stigende digitalisering inden for sektoren. Forordningen sætter bl.a. betydelige krav om leverandørstyring samt periodisk og trusselsbaseret testning af netværks- og informationssystemer for de større enheder.

Ved ikrafttrædelsen den 17. januar 2025 forventes de nuværende outsourcing- og ledelsesbekendtgørelser for sektoren at blive ophævet, og DORA bliver således den nye standard for sektoren.

Hos Globeteam anbefaler vi derfor en rettidig start på arbejdet med DORA. Vores team af konsulenter og specialister kan understøtte og assistere jer i arbejdet med DORA, så I kommer godt i mål med opgaven. Du kan læse mere om vores anbefalinger herunder.

Deltag i DORA kursus

Hvilke lovkrav stiller DORA?

Forordningen indeholder en række krav til bl.a. risikostyring, hændelseshåndtering og rapportering, brug af trusselsinformation, leverandørstyring, dokumentation samt sikkerhedstestning, IT-drift og cybersikkerhed. Nogle af forrdningens centrale reguleringsområder kan du se herunder:

  • Krav til styring af digitale risici
  • Krav til indberetning af hændelser til relevante myndigheder
  • Krav til test af cybersikkerhed
  • Krav til udveksling af oplysninger og efterretninger om cybertrusler og sårbarheder
  • Krav til styring af tredjepartsrisici
  • Krav til kontrakter, der indgås med digitale tjenester og leverandører
  • Overvågning og tilsyn med leverandører, der er kritiske udbydere af digitale tjenester
  • Regler om samarbejde mellem kompetente myndigheder og om disses tilsyn og håndhævelse

Du kan læse DORA-forordningen her

Globeteam anbefaler en 3-trins tilgang

DORA vil, for en betydelig del af den finansielle sektor, sætte et højt niveau inden for cybersikkerhed og IKT (informations- og kommunikationsteknologi).

For nogle virksomheder vil DORA-compliance afhjælpe en række forskellige risici, såsom:

  • Brand-risici (offentliggørelse af centrale observationer hos Finanstilsynet)
  • Regulatoriske risici (bøder, påbud eller sanktioner fra offentlig myndighed)
  • Potentielle kommercielle eller kontraktuelle sanktioner, såfremt man er kritisk leverandør til en større finansiel enhed

Et rettidigt og tidligt arbejde med DORA-compliance vil sikre, at virksomhedens digitalisering og eventuelle services kan understøttes af nødvendige risiko-reducerende tiltag, og at disse kan dokumenteres for eksterne relevante parter.

En tidlig start med DORA-arbejdet og implementering af påvirknings- og modenhedsanalyser vil desuden sikre, at corporate liabilities styres, ligesom både den øverste og den daglige ledelse kan styre risici samt demonstrere udført due diligence.

Globeteam anbefaler følgende 3-trins tilgang:

Påvirkningsanalyse
DORA vil ikke påvirke alle virksomheder eller leverandører til den finansielle sektor ens. Vi anbefaler derfor, at der udføres en analyse af, hvilke funktionelle enheder, forretningsprocesser, IT-systemer og leverandører, der vil blive påvirket. Tillige anbefaler vi, at der udføres en interessent analyse i forhold til organisationen, hvor relevante interessenter bliver identificeret og inddraget. Vi anbefaler, at påvirkningsanalysen anvendes som baggrund for en workshop internt i organisationen.
Modenhedsanalyse
Der udføres en modenhedsanalyse i henhold til de identificerede kapabiliteter og kapaciteter for funktionelle enheder, forretningsprocesser, IT-systemer og leverandører med respekt for deres eksisterende evne til at imødekomme DORA-krav. Resultatet af trin 2 er en kortlægning af virksomhedens udestående i forhold til at imødekomme DORA-kravene.
Prioriteter og plan for optimering
Trin 3 indeholder en anbefaling til at få prioriteret og koordineret udeståender, så I opnår den ønskede compliance i forhold til virksomhedens størrelse, omfang og karakter, tillige med ledelsens risikoappetit og tolerance niveau. Trin 3 indeholder desuden en plan for optimering af eventuelle assuranceværktøjer såsom certificeringer, ISAE 3402/3000, SOC1, 2 eller 3 eller lignende værktøjer til videre optimering af virksomhedens evne til at demonstrere compliance til interne såvel som eksterne parter. Resultatet er et roadmap med henblik på sikring af DORA-compliance.
Compliance

Hvem er omfattet af DORA-forordningen?

DORA er specifikt rettet mod den finansielle sektor som en del af sikringen af systemisk og kritisk samfundsmæssig infrastruktur og betegnes også lex specialis (en speciellov, som går forud for en anden). DORA er således tæt forbundet med NIS2, som også sætter krav til sikring af netværks- og informationssystemer for banker såvel som finansiel infrastruktur. NIS2 forventes tillige at finde anvendelse på og gælde for visse segmenter af leverandører til den finansielle sektor.

Blandt de enheder, som bliver påvirket af DORA, er bl.a. banker, kreditinstitutioner, betalingsinstitutioner, pengeinstitutter, forsikringsselskaber, investeringsselskaber, værdipapircentraler og it-leverandører, som er systemiske på EU-niveau.

Selvom DORA vil påvirke store dele af den finansielle sektor, findes der i reguleringen også flere undtagelser.
Dem kan du høre mere om i denne webinaroptagelse

Du kan læse mere om NIS2 her

Compliance

Vi er specialister i DORA-compliance

Grundet reguleringens bredde og dybde kræver DORA en lang række kompetence-domæner samt specialister. Globeteams unikke kombination af senior eksperter inden for Strategi & Organisation, IT, Forretningsprocesser samt Risk & Sikkerhed, gør det muligt at understøtte alle DORA’s talrige fag-domæner.

Globeteam kan tillige tilbyde senior profiler, der har flere års erfaring med at drive større programmer såvel som projekter.

Vi kan således understøtte og assistere med de 3 trin i vores anbefalede model samt sikre, at de nødvendige specialister bliver inddraget i de enkelte faser. Dette vil sikre ikke kun leverancen, men også kvaliteten af leverancen.

Deltag i DORA kursus

Nyhedsbrev

Få vores nyhedsbrev

Hold dig opdateret på din virksomheds digitale muligheder med cases og faglige artikler

Globeteam

Globeteam A/S – Hovedkontor
Virumgårdsvej 17A
DK-2830 Virum
Tlf.: +45 70 26 29 70
info@globeteam.com

AI Innovation House
Innovations Allé 3
7100 Vejle

Åbogade 15
8200 Århus N

Forretningsområder
Karriere
Persondata
Forretningsbetingelser
Kontakt
Connect
Linkedin Youtube Facebook-f Instagram