Art. 5

Ledelsesorganets ansvar

Art. 5 legger det overordnede ansvaret for IKT-risikostyring direkte på ledelsesorganet. Dette er ikke en forpliktelse som enkelt kan delegeres. Selv om ledelsesorganet kan utpeke en CISO eller tilsvarende til å håndtere den daglige driften, beholder styret eller den øverste ledelsen personlig ansvar for at rammeverket er tilstrekkelig og effektivt.

Ledelsesorganet skal godkjenne og jevnlig gjennomgå rammeverket for IKT-risikostyring, IKT-strategien, retningslinjene for IKT-kontinuitet og de interne revisjonsplanene for IKT. Det skal definere og godkjenne virksomhetens strategi for digital operasjonell motstandsdyktighet og IKT-risikoappetitt. Medlemmene skal holde seg orientert om trusselbildet som er relevant for enheten, og sikre at tilstrekkelig budsjett og ressurser er allokert til IKT-sikkerhet og motstandsdyktighet.

Opplæringsplikt: Art. 5(4) krever at medlemmer av ledelsesorganet holder sin IKT-kompetanse oppdatert, blant annet gjennom relevant opplæring. Tilsynsmyndigheter kan vurdere om styremedlemmer har tilstrekkelig forståelse av IKT-risiko ved tilsynsgjennomganger. Dette kravet er unikt for DORA og går lenger enn det meste av eksisterende finansregulering.

I praksis betyr dette at ledelsesorganet bør motta jevnlig IKT-risikorapportering, typisk kvartalsvis eller etter vesentlige hendelser. Rapportene bør dekke gjeldende risikoeksponering, åpne sårbarheter, hendelsestrender, testresultater og status for utbedringsaktiviteter. DORA GRC genererer slike styrenivå-rapporter automatisk fra sanntidsdata på tvers av alle fem pilarer.


Art. 6

Krav til rammeverket for IKT-risikostyring

Art. 6 fastsetter hva rammeverket for IKT-risikostyring skal inneholde. Det skal være et dokumentert og helhetlig sett av strategier, retningslinjer, prosedyrer og IKT-verktøy som enheten bruker for å styre IKT-risiko. Rammeverket skal gjennomgås minst en gang per år, eller oftere etter vesentlige IKT-hendelser eller materielle endringer i IKT-landskapet.

Rammeverket skal inkludere en strategi for digital operasjonell motstandsdyktighet som forklarer hvordan enheten vil implementere rammeverket. Det skal definere metodene for håndtering av IKT-risiko, fastsette nøkkelindikatorer og risikometrikker, og beskrive hvordan enhetens IKT-arkitektur understøtter forretningsstrategien. Rammeverket skal også ta høyde for endringer i trusselbildet og innarbeide erfaringer fra tidligere hendelser og testing.

RTS 2024/1774 gir detaljerte spesifikasjoner for innholdet i rammeverket, inkludert krav til retningslinjer for IKT-aktivaforvaltning, kryptering, tilgangskontroll, kapasitets- og ytelsesstyring samt sårbarhetshåndtering. Enheter bør bruke RTS-en som sjekkliste når de utarbeider eller gjennomgår dokumentasjonen av rammeverket.

En uavhengig internrevisjonsfunksjon skal gjennomgå rammeverket for IKT-risikostyring minst årlig. Revisjonen skal vurdere om rammeverket er tilstrekkelig, effektivt og i samsvar med DORA og gjeldende tekniske standarder. Revisjonsfunn skal rapporteres til ledelsesorganet og følges opp med utbedring.


Art. 8

Identifikasjon av IKT-systemer og -eiendeler

Art. 8 krever at enheter identifiserer, klassifiserer og dokumenterer alle IKT-støttede forretningsfunksjoner, IKT-eiendelene som understøtter dem, og avhengighetene mellom dem. Dette er fundamentet som alt annet i rammeverket bygger på. Uten en fullstendig og nøyaktig oversikt kan risikovurderinger, kontinuitetsplaner og testprogrammer ikke fungere effektivt.

Enheten skal opprettholde et register over alle IKT-eiendeler, inkludert maskinvare, programvare, datalager og nettverkskomponenter. Hver eiendel skal klassifiseres etter kritikalitet, og registeret skal angi hvilke forretningsfunksjoner hver eiendel understøtter, hvilke leverandører som leverer eller vedlikeholder eiendelen, og hvilke avhengigheter som eksisterer mellom eiendelene.

Art. 8(4) krever spesifikt at enheter kartlegger sammenhengene og avhengighetene mellom IKT-støttede forretningsfunksjoner, IKT-eiendeler og IKT-tredjepartsleverandører. Denne avhengighetskartleggingen er avgjørende for å forstå konsentrasjonsrisiko, planlegge forretningskontinuitet og avgrense motstandsdyktighetstesting. DORA GRCs CIF-register og avhengighetskartlegging automatiserer denne prosessen og kobler direkte til eiendelsregisteret og leverandørregisteret.

Løpende vedlikehold: Eiendelsregisteret er ikke en engangsøvelse. Art. 8(1) krever at enheter holder det oppdatert fortløpende. Ethvert nytt system, utfaset eiendel eller endring i leverandørarrangement skal reflekteres uten ugrunnet opphold. Mange tilsynsmyndigheter behandler nøyaktigheten og fullstendigheten av eiendelsregisteret som en primær indikator på modenheten i IKT-risikostyringen.

Art. 9

Beskyttelses- og forebyggingstiltak

Art. 9 krever at enheter implementerer et helhetlig sett av IKT-sikkerhetsretningslinjer og -prosedyrer for å beskytte sine IKT-systemer. Tiltakene skal utformes for å sikre konfidensialitet, integritet og tilgjengelighet for data og IKT-systemer, og skal stå i forhold til enhetens risikoappetitt og kritikaliteten til systemene som beskyttes.

De påkrevde tiltakene omfatter retningslinjer for tilgangskontroll som begrenser systemtilgang til autorisert personell etter prinsippene om tjenstlig behov og minste privilegium. Enheter skal implementere sterk autentisering, særlig for tilgang til kritiske systemer og for fjerntilgang. Kryptering skal benyttes for data i hvile og under overføring, med dokumenterte og kontrollerbare rutiner for nøkkelhåndtering.

Nettverkssikkerhetstiltak skal inkludere segmentering, brannmurstyring og innbruddsdeteksjon. Enheter skal ha retningslinjer for oppdateringshåndtering som definerer tidsfrister for sikkerhetspatcher basert på alvorlighetsgrad, og skal vedlikeholde herdede konfigurasjoner for alle IKT-systemer. Fysisk sikring av IKT-infrastruktur skal også adresseres, herunder datasentre og nettverksutstyr.

Endringshåndteringsprosedyrer kreves i henhold til art. 9(4)(e), og dekker alle endringer i IKT-systemer, fra mindre patcher til større plattformmigrasjoner. Endringer i kritiske systemer skal risikovurderes, testes og godkjennes før utrulling, med tilbakestillingsprosedyrer dokumentert og tilgjengelig.


Art. 10

Deteksjon og overvåking

Art. 10 krever at enheter etablerer mekanismer for umiddelbart å oppdage avvikende aktivitet i sine IKT-systemer. Dette inkluderer overvåking av nettverkstrafikk, logganalyse og korrelering av sikkerhetshendelser. Deteksjonsevnene skal dekke både interne trusler og eksterne angrepsvektorer.

Enheter skal implementere flere lag med deteksjonskontroller, herunder automatisk varsling for kjente trusselindikatorer, atferdsanalyse for uvanlige mønstre og overvåking av privilegerte kontoer. Deteksjonsmekanismene skal testes jevnlig som del av testprogrammet for motstandsdyktighet som kreves etter art. 24-25.

Loggbevaring og -analyse er sentralt for etterlevelse av art. 10. Enheter skal samle inn og oppbevare logger fra alle kritiske IKT-systemer i tilstrekkelig tid til å understøtte hendelsesetterforskning og regulatoriske henvendelser. Loggene skal beskyttes mot manipulering og lagres sikkert. RTS 2024/1774 gir ytterligere detaljer om minimumskrav til logging og oppbevaringsperioder.


Art. 11

Respons og gjenoppretting

Art. 11 omhandler forretningskontinuitetsstyring og IKT-katastrofeberedskap. Alle finansielle enheter skal etablere retningslinjer for forretningskontinuitet, kontinuitetsplaner og katastrofegjenopprettingsplaner for IKT. Planene skal definere Recovery Time Objectives (RTO), Recovery Point Objectives (RPO) og Maximum Tolerable Periods of Disruption (MTPD) for hver kritisk eller viktig funksjon.

Planene skal bygge på konsekvensanalyser som vurderer de potensielle følgene av alvorlige forstyrrelser av enhetens kritiske funksjoner. De skal inneholde prosedyrer for aktivering av planene, kommunikasjon med interessenter og krisehåndtering frem til løsning. Planene skal også ta høyde for scenariet der en kritisk IKT-tredjepartsleverandør blir utilgjengelig.

Art. 11(5) krever at BCP- og katastrofegjenopprettingsplanene testes minst årlig. Testingen skal dekke hele gjenopprettingsprosessen, ikke bare enkeltkomponenter. Resultatene skal dokumenteres og brukes til å oppdatere planene. Dersom en test viser at enheten ikke kan oppfylle sine definerte gjenopprettingsmål, skal dette eskaleres til ledelsesorganet og utbedres omgående.

DORA GRCs BCP-modul håndterer planer, testplaner og resultater i en samlet arbeidsflyt. Testfunn kobles tilbake til risikoregisteret og vises i samsvarsdashboardet, slik at avvik følges opp til lukking automatisk.


Art. 12

Sikkerhetskopiering og gjenoppretting

Art. 12 stiller spesifikke krav til retningslinjer og prosedyrer for sikkerhetskopiering. Enheter skal definere omfang, frekvens og oppbevaringsperioder for sikkerhetskopiering av alle kritiske IKT-systemer og data. Sikkerhetskopieringsprosedyrene skal sikre at data kan gjenopprettes til en kjent god tilstand innenfor definert RPO og RTO for hver kritisk funksjon.

Sikkerhetskopier skal lagres på et sted som er fysisk og logisk atskilt fra produksjonsmiljøet, for å sikre at de overlever en forstyrrelse som rammer primærsystemene. Selve infrastrukturen for sikkerhetskopiering skal beskyttes mot uautorisert tilgang, korrupsjon og miljøtrusler.

Gjenopprettingsprosedyrer skal testes jevnlig. Det er ikke tilstrekkelig å verifisere at sikkerhetskopier opprettes; enheter skal bekrefte at de kan gjenopprettes vellykket og at de gjenopprettede dataene er fullstendige og konsistente. Gjenopprettingstesting bør innarbeides i det bredere testprogrammet for forretningskontinuitet under art. 11(5).


Art. 13

Læring og utvikling

Art. 13 krever at enheter etablerer prosesser for å lære av IKT-relaterte hendelser, både egne og de som rammer finanssektoren for øvrig. Etter hver vesentlig hendelse skal enheten gjennomføre en etterevaluering for å identifisere rotårsaker, vurdere effektiviteten av responsen og avgjøre hvilke forbedringer som trengs.

Læringsprosessen skal også innarbeide ekstern trusselintelligens. Enheter skal overvåke det IKT-trussellandskapet i utvikling, herunder sårbarheter, angrepsmetoder og hendelser rapportert av andre aktører og av ESA-ene. Denne etterretningen skal tilbakeføres til rammeverket for IKT-risikostyring og drive oppdateringer av risikovurderinger, kontroller og testprioriteringer.

Opplærings- og bevisstgjøringsprogrammer skal sikre at alle ansatte forstår sin rolle i IKT-risikostyringen. Personell som håndterer kritiske IKT-systemer, skal motta målrettet opplæring som dekker de spesifikke truslene og kontrollene som er relevante for deres funksjoner. Ledelsesorganets opplæringsplikt etter art. 5(4) kommer i tillegg.


Art. 14

Kommunikasjonskrav

Art. 14 krever at enheter har retningslinjer og prosedyrer for intern og ekstern kommunikasjon knyttet til IKT-hendelser og sårbarheter. Internt skal det være klare eskaleringsveier for rapportering av hendelser, og ansatte skal vite hvem de skal kontakte og hvilken informasjon de skal oppgi. Eksternt skal enheten kunne kommunisere med kunder, motparter, tilsynsmyndigheter og offentligheten etter behov.

Kommunikasjonsplanen skal dekke krisekommunikasjonsscenarier der en IKT-hendelse påvirker tjenesteleveransen eller datasikkerheten. Den skal definere hvem som er autorisert til å uttale seg eksternt, hvilken informasjon som kan deles, og hvordan relevante varslingskrav overholdes. Disse prosedyrene bør testes som del av de scenariobaserte øvelsene etter art. 25.


Art. 16

Forenklet rammeverk for mindre enheter

Art. 16 gir et forenklet rammeverk for IKT-risikostyring for visse mindre finansielle enheter. Dette gjelder enheter som oppfyller kriteriene i art. 16(1), herunder mikrovirksomheter (færre enn 10 ansatte og årlig omsetning eller balansesum under 2 millioner euro) og visse andre små enheter som fastsatt av det nasjonale tilsynsorganet (NCA).

Det forenklede rammeverket beholder kjerneprinsippene for IKT-risikostyring, men reduserer de prosedyremessige kravene og dokumentasjonsbyrden. Enheter som faller under det forenklede regimet, skal fortsatt opprettholde et rammeverk for IKT-risikostyring, men med mindre formelle dokumentasjonskrav. De skal fremdeles identifisere og beskytte kritiske IKT-systemer, respondere på hendelser og opprettholde ordninger for forretningskontinuitet, men omfanget og frekvensen av aktivitetene kan reduseres.

Viktig: Det forenklede rammeverket er ikke et unntak. Enheter under art. 16 er fortsatt fullt underlagt DORA. De skal fremdeles overholde kravene til hendelsesrapportering i art. 17-23, opprettholde kontraktskravene med IKT-leverandører etter art. 28-30 og gjennomføre et forholdsmessig testprogram. Forenklingen gjelder primært dokumentasjons- og prosedyrekravene i selve rammeverket for risikostyring. Kontakt ditt nasjonale tilsynsorgan for å bekrefte om du kvalifiserer for det forenklede regimet.

FAQ

Ofte stilte spørsmål

DORAs rammeverk for IKT-risikostyring er det samlede settet av retningslinjer, prosedyrer, protokoller og verktøy som en finansiell enhet må etablere i henhold til art. 5-16 i EU-forordning 2022/2554. Det dekker ledelsesansvar, identifikasjon av IKT-eiendeler, beskyttelses- og forebyggingstiltak, deteksjon og overvåking, respons og gjenoppretting, sikkerhetskopiering og gjenoppretting, læring og kommunikasjon. Rammeverket skal dokumenteres, gjennomgås minst årlig og være gjenstand for internrevisjon.

I henhold til art. 5 har ledelsesorganet det overordnede ansvaret for rammeverket for IKT-risikostyring. Medlemmene skal fastsette enhetens IKT-risikoappetitt, godkjenne rammeverket og IKT-strategien, bevilge tilstrekkelig budsjett og ressurser, holde seg orientert om trusselbildet og opprettholde egen IKT-kompetanse gjennom opplæring. Ansvaret kan ikke fullt ut delegeres til IT-avdelingen eller CISO.

Ja. Art. 16 gir et forenklet rammeverk for IKT-risikostyring for visse mindre finansielle enheter, herunder mikrovirksomheter. Det forenklede rammeverket beholder kjerneprinsippene for risikostyring, men reduserer kravene til dokumentasjon og prosedyrer. Enheter bør bekrefte om de er kvalifisert med sitt nasjonale tilsynsorgan, da kriteriene kan variere noe mellom jurisdiksjoner.

DORA definerer IKT-risiko som enhver rimelig identifiserbar omstendighet knyttet til bruk av nettverks- og informasjonssystemer som, dersom den materialiserer seg, kan kompromittere sikkerheten til nettverks- og informasjonssystemer, teknologiavhengige verktøy eller prosesser, driften og prosessene, eller leveringen av tjenester, og dermed negativt påvirke integritet eller tilgjengelighet av data, programvare eller andre komponenter i IKT-tjenester og -infrastruktur, eller forårsake brudd på konfidensialiteten. Definisjonen er bred og dekker teknologifeil, cyberangrep og menneskelige feil som rammer IKT-systemer.