Vad är DORA?
DORA (Digital Operational Resilience Act) är det nya regelverk inom EU som syftar till att stärka den finansiella sektors motståndskraft mot just digitala risker och cyberhot. Detta regelverk tillämpas sedan 16 januari 2023 och omfattar en mängd finansiella aktörer, såsom banker, försäkringsbolag och andra finansiella tjänsteleverantörer med s.k. kritiska informations- och kommunikationstekniktjänster (IKT-tjänster). DORA ska vara helt implementerad 2025.
DORA inkluderar åtgärder för kryptotillgångsmarknader, distribuerad databasteknik och ändringar i finansiella tjänsteregler. Fokus ligger på att hantera IKT-relaterade risker och stärka operativ motståndskraft. Tidigare åtgärder efter finanskrisen 2008 stärkte visserligen finansiell motståndskraft men ignorerade IKT-risker. DORA syftar till att säkerställa enhetlig ram för digital motståndskraft, inklusive testning av IKT-system och ökad medvetenhet hos tillsynsmyndigheter.
Samhället som helhet kommer gynnas av det ökade förtroendet för finanssektorn, som DORA sannolikt kommer innebära.
Hur kan Lemontree hjälpa er med DORA?
Lemontree är en pålitlig partner som erbjuder en omfattande konsultexpertis inom en rad områden. Vi har gedigen regelverkskompetens och erfarna verksamhetskonsulter, förändringsledare, testledare och teknisk testning och kvalitet sedan 20 år tillbaka. Vi har erfarenhet av motsvarande regelverksutrullningar som till exempel GDPR och hjälper er gärna att komma i gång med implementeringen av DORA. Det nya regelverket stipulerar ett antal krav som ställs på bland annat testare. Vi uppfyller dessa krav och kan på ett tillfyllest sätt se till att ni får en lyckad implementering av DORA.
- Expertis: Lemontree har certifierade DORA-experter som kan hjälpa kunderna att förstå och implementera förordningen.
- Helhetslösningar: Lemontree erbjuder ett komplett utbud av tjänster, från riskbedömningar och gap-analyser till implementeringsstöd, testning och utbildning.
- Anpassade lösningar: Lemontree skräddarsyr sina tjänster efter varje kunds specifika behov och förutsättningar.
- Erfarenhet: Lemontree har lång erfarenhet av liknande regelverk (som GDPR) och en djup förståelse för finanssektorns utmaningar.
DORAs tillämpningsområde
DORA har ett omfattande tillämpningsområde och reglerar olika aspekter av digital säkerhet och motståndskraft. Det reglerar bland annat:
IKT-riskhanteringsförmåga
Förordningen innebär att strängare krav införs avseende IKT-riskhanteringsförmåga. Det finns dock undantag där mikroföretag eller andra finansiella entiteter beroende av storlek och riskprofil kan få en förenklad IKT-riskhanteringsram.
Incidentrapportering
För att finansiella entiteter ska kunna upprätthålla full kontroll över IKT-risk måste de, förutom att ha övergripande kapacitet som möjliggör en kraftfull och effektiv IKT-riskhantering, ha särskilda mekanismer och riktlinjer för att hantera alla IKT-relaterade incidenter och rapportera allvarliga IKT-relaterade incidenter.
Testning
DORA innehåller bestämmelser om utförande av lämpliga tester, såsom sårbarhetsanalyser och skanningar, analyser av öppen källkod, nätverkssäkerhetsbedömningar, gapanalyser, fysiska säkerhetsgranskningar, frågeformulär och programvarulösningar för skanning, källkodsgranskningar när så är möjligt, scenariobaserade tester, kompatibilitetstester, prestandatester, tester ändpunkt till ändpunkt (end-to-end) och penetrationstester.
Hantering av IKT-tredjepartsrisker
DORA är tillämplig på alla kritiska tredjepartsleverantörer av IKT-tjänster, inbegripet leverantörer av molntjänster som tillhandahåller IKT-tjänster till finansiella entiteter. Eftersom tredjepartsleverantörer av IKT-tjänster ofta tillhandahåller standardiserade tjänster till olika typer av kunder kan det dessutom hända att sådana kontraktsmässiga arrangemang inte alltid tillgodoser finansbranschaktörernas individuella eller särskilda behov.
Det är därför nödvändigt att fastställa vissa nyckelprinciper för att vägleda finansiella entiteters hantering av IKT-tredjepartsrisker, vilka är särskilt viktiga när finansiella entiteter använder tredjepartsleverantörer av IKT-tjänster för att stödja kritiska eller viktiga funktioner. Dessa principer bör åtföljas av en uppsättning grundläggande avtalsenliga rättigheter i samband med flera aspekter av fullgörandet och avslutandet av kontraktsmässiga arrangemang i syfte att tillhandahålla vissa minimiskyddsåtgärder för att stärka finansiella entiteters förmåga att effektivt övervaka alla IKT-risker som uppstår på tredjepartstjänsteleverantörsnivå.
Samarbete och informationsutbyte mellan aktörer
I och med att IKT-risker blir alltmer komplexa och sofistikerade kommer effektiva åtgärder för att upptäcka och förebygga IKT-risk att i hög grad vara beroende av regelbundet utbyte mellan finansiella entiteter av underrättelser om hot och sårbarhet. Informationsutbyte bidrar till att skapa ökad medvetenhet om cyberhot.
Under vissa omständigheter får finansiella entiteter sinsemellan utbyta information och underrättelser om cyberhot, inbegripet indikatorer på äventyrad säkerhet, taktiker, tekniker och förfaranden, cybersäkerhetsvarningar och konfigurationsverktyg.
Vanliga frågor & svar om DORA (Digital Operational Resilience Act)
Här hittar du svar på de vanligaste frågorna vi får från våra kunder. Vi har samlat information och lösningar på olika ämnen och problem som kan uppstå. Oavsett om det gäller tekniska frågor, produktinformation eller allmänna funderingar, så finns vi här för att hjälpa dig.
Kontakta oss för konsultation eller frågor rörande DORA
Har du frågor eller behöver hjälp med implementeringen av det nya finansiella regelverket från EU? Tveka inte att höra av dig till oss. Fyll i formuläret så återkommer vi till dig inom kort. Vi finns här för att hjälpa dig att ta nästa steg i din digitala utveckling.
Read our white papers & compendium
Would you like to delve deeper into test automation, DevOps, or mobile testing? Feel free to download our whitepapers and compendiums.