Nästa år införs EU-regelverket DORA, som medför nya tuffa krav på riskhantering inom finansbranschen.
Petter Glenstrup på cybersäkerhetsföretaget Arctic Wolf delar här med sig fem goda råd till organisationer som behöver förbereda sig.
Den finansiella sektorn inom EU står inför ett nytt regelverk som fastställer ett gemensamt ramverk för hantering, rapportering och outsourcing av IT-relaterade risker.
Det övergripande syftet med Digital Operational Resilience Act (DORA) är att garantera stabiliteten hos det finansiella systemet genom en hög beredskap inför cyberattacker och andra digitala risker.
Många företag utanför den finansiella sektorn som berörs också. Även som leverantör behöver man anpassa sig till kraven. För alla som tillhandahåller IT-tjänster, liksom för distributionskanalen är det därför viktigt att förstå hur DORA kommer att påverka dem och att förbereda sig inför att regelverket träder i kraft i början av nästa år. Bristande efterlevnad kan leda till tunga ekonomiska påföljder med viten.
Ett praktiskt och handfast sätt för din organisation att komma i gång är att följa de fem enkla stegen nedan. De ger ett gott stöd till arbetet för att uppfylla kraven på cyberresiliens som ställs av DORA.
- Ta reda på om ni berörs av reglerna
DORA omfattar hela finansbranschen inom EU: samtliga banker, försäkringsbolag och aktörer på värdepappersmarknaden – oavsett storlek och omsättning. Regelverket tillämpas även på hela leveranskedjan till finansiella aktörer, även underleverantörer i flera steg. Detta innebär att även de företag som förser finansbranschen med IT-system och tjänster måste se till att de uppfyller kraven – hit hör allt ifrån molntjänster och datacenter till AI.
- Gör en riskbedömning
Enligt DORA behöver en organisation kunna visa på en beredskap för att hantera IT-relaterade störningar, även cyberattacker. Därför är det viktigt att ledningen tar sig tid att förstå vilka möjliga luckor som finns i försvarslinjen – liksom att veta hur man kan upptäcka, rapportera om och återhämta sig från en incident.
Genom att göra en riskbedömning både för den egna organisationen och leverantörskedjan kan ni identifiera sårbara områden och i nästa steg ta fram en handlingsplan för att åtgärda dessa.
- Utveckla en handlingsplan
När riskbedömningen för er organisation är klar är det dags att göra en handlingsplan för efterlevnad. Den ska ansluta till kraven som beskrivs i DORA (artikel 6.8) och förklara hur ert arbete för hantering av IT-risker stödjer era affärsmål och bredare strategi. Handlingsplanen bör också fastställa en risktoleransnivå, förklara organisationens befintliga IT-infrastruktur, beskriva de olika mekanismerna som finns på plats för att upptäcka en incident, samt förklara hur ni ska kommunicera både inom organisationen och externt i händelse av en attack. DORA ställer tydliga krav bland annat när det gäller incidentrapportering, scenariotester och riskhantering.
- Utbilda nyckelpersoner
Utöver att få ett riskhanteringsprogram på plats ställer DORA även krav på säkerhetsmedvetenhet och utbildning för styrelseledamöter, ledande befattningshavare och anställda. Det förefaller rimligt med tanke på att interna faktorer bedöms ligga bakom omkring 60 procent av alla dataintrång – med eller utan avsikt. Varje medarbetare i organisationen ska få regelbunden utbildning om cybersäkerhet och kunna känna igen typiska tecken på en attack. Utbildningen bör också ta upp hur man ska agera i händelse av en attack – exempelvis för att rapportera incidenter till säkerhetsansvariga.
- Se över planerna regelbundet
När DORA blir svensk lag kommer varje organisation som berörs att få sin riskhanteringsplan granskad regelbundet, liksom när det har inträffat en IT-relaterad incident. Det är därför viktigt att ni själva regelbundet ser över er beredskap för att säkerställa att planen fortfarande är aktuell, och att den kontinuerligt uppdateras i linje med lagstiftningens krav där så är nödvändigt. Översynen betyder inte bara att ni ser till att följa regelverket, utan ger också ett konkret stöd för att upprätthålla er operativa beredskap över tid.
Genom att ta till sig och agera enligt stegen ovan kan finansbranschen och dess leverantörer säkerställa att de är förberedda när DORA träder i kraft i januari 2025. Även om det ännu kan kännas som gott om tid för att uppnå efterlevnad är det hög tid att starta arbetet nu.
Petter Glenstrup
Director Sales Engineering
Arctic Wolf