Globeteam
DORA
Home » Sikkerhed » Compliance » DORA
DORA: Ny forordning og nye krav til den finansielle sektor
Er du en del af den finansielle sektor eller leverandør til sektoren vil den nyligt adopterede DORA-forordning – Digital Operational Resilience Act – sætte nye og skærpede krav til digital operationel modstandsdygtighed i jeres organisation og for jeres services. DORA-forordningen blev adopteret som EU-regulering d. 16. januar 2023 og vil træde i kraft den 17. januar 2025.
Ligesom med NIS2 er formålet med forordningen at sikre kritisk infrastruktur, men rettet specifikt mod den finansielle sektor. Forordningen sætter således en ny og ensartet standard på tværs af den finansielle sektor – og dennes kritiske leverandører. DORA sigter tillige efter at højne sikkerheden som led i den stadigt stigende digitalisering inden for sektoren. Forordningen sætter bl.a. betydelige krav om leverandørstyring samt periodisk og trusselsbaseret testning af netværks- og informationssystemer for de større enheder.
Ved ikrafttrædelsen den 17. januar 2025 forventes de nuværende outsourcing- og ledelsesbekendtgørelser for sektoren at blive ophævet, og DORA bliver således den nye standard for sektoren.
Hos Globeteam anbefaler vi derfor en rettidig start på arbejdet med DORA. Vores team af konsulenter og specialister kan understøtte og assistere jer i arbejdet med DORA, så I kommer godt i mål med opgaven. Du kan læse mere om vores anbefalinger herunder.
Hvilke lovkrav stiller DORA?
Forordningen indeholder en række krav til bl.a. risikostyring, hændelseshåndtering og rapportering, brug af trusselsinformation, leverandørstyring, dokumentation samt sikkerhedstestning, IT-drift og cybersikkerhed. Nogle af forrdningens centrale reguleringsområder kan du se herunder:
- Krav til styring af digitale risici
- Krav til indberetning af hændelser til relevante myndigheder
- Krav til test af cybersikkerhed
- Krav til udveksling af oplysninger og efterretninger om cybertrusler og sårbarheder
- Krav til styring af tredjepartsrisici
- Krav til kontrakter, der indgås med digitale tjenester og leverandører
- Overvågning og tilsyn med leverandører, der er kritiske udbydere af digitale tjenester
- Regler om samarbejde mellem kompetente myndigheder og om disses tilsyn og håndhævelse
Globeteam anbefaler en 3-trins tilgang
DORA vil, for en betydelig del af den finansielle sektor, sætte et højt niveau inden for cybersikkerhed og IKT (informations- og kommunikationsteknologi).
For nogle virksomheder vil DORA-compliance afhjælpe en række forskellige risici, såsom:
- Brand-risici (offentliggørelse af centrale observationer hos Finanstilsynet)
- Regulatoriske risici (bøder, påbud eller sanktioner fra offentlig myndighed)
- Potentielle kommercielle eller kontraktuelle sanktioner, såfremt man er kritisk leverandør til en større finansiel enhed
Et rettidigt og tidligt arbejde med DORA-compliance vil sikre, at virksomhedens digitalisering og eventuelle services kan understøttes af nødvendige risiko-reducerende tiltag, og at disse kan dokumenteres for eksterne relevante parter.
En tidlig start med DORA-arbejdet og implementering af påvirknings- og modenhedsanalyser vil desuden sikre, at corporate liabilities styres, ligesom både den øverste og den daglige ledelse kan styre risici samt demonstrere udført due diligence.
Globeteam anbefaler følgende 3-trins tilgang:
Hvem er omfattet af DORA-forordningen?
DORA er specifikt rettet mod den finansielle sektor som en del af sikringen af systemisk og kritisk samfundsmæssig infrastruktur og betegnes også lex specialis (en speciellov, som går forud for en anden). DORA er således tæt forbundet med NIS2, som også sætter krav til sikring af netværks- og informationssystemer for banker såvel som finansiel infrastruktur. NIS2 forventes tillige at finde anvendelse på og gælde for visse segmenter af leverandører til den finansielle sektor.
Blandt de enheder, som bliver påvirket af DORA, er bl.a. banker, kreditinstitutioner, betalingsinstitutioner, pengeinstitutter, forsikringsselskaber, investeringsselskaber, værdipapircentraler og it-leverandører, som er systemiske på EU-niveau.
Selvom DORA vil påvirke store dele af den finansielle sektor, findes der i reguleringen også flere undtagelser.
Dem kan du høre mere om i denne webinaroptagelse
Vi er specialister i DORA-compliance
Grundet reguleringens bredde og dybde kræver DORA en lang række kompetence-domæner samt specialister. Globeteams unikke kombination af senior eksperter inden for Strategi & Organisation, IT, Forretningsprocesser samt Risk & Sikkerhed, gør det muligt at understøtte alle DORA’s talrige fag-domæner.
Globeteam kan tillige tilbyde senior profiler, der har flere års erfaring med at drive større programmer såvel som projekter.
Vi kan således understøtte og assistere med de 3 trin i vores anbefalede model samt sikre, at de nødvendige specialister bliver inddraget i de enkelte faser. Dette vil sikre ikke kun leverancen, men også kvaliteten af leverancen.
Nyhedsbrev
Få vores nyhedsbrev
Hold dig opdateret på din virksomheds digitale muligheder med cases og faglige artikler