Klassifiseringskriterier for IKT-hendelser
Art. 18 i DORA etablerer rammeverket for klassifisering av IKT-relaterte hendelser. De detaljerte klassifiseringskriteriene er fastsatt i delegert kommisjonsforordning (CDR) 2024/1772, som definerer skillet mellom en mindre IKT-hendelse og en alvorlig hendelse som utloser obligatorisk rapportering til tilsynsmyndigheten.
Klassifiseringen baseres på flere kriterier som vurderer alvorlighetsgrad og konsekvenser. Kriteriene er utformet for å være objektive og målbare, noe som reduserer risikoen for ulik klassifiseringspraksis på tvers av sektoren.
Antall berørte kunder er et sentralt klassifiseringskriterium. Sannsynligheten for at en hendelse klassifiseres som alvorlig øker dersom den berører mer enn 10 % av enhetens samlede kundebase, eller mer enn 100 000 kunder i absolutte tall. Både direkte berørte kunder (som opplever tjenesteavbrudd) og indirekte berørte kunder (hvis data eller transaksjoner er påvirket) telles med.
Varigheten av tjenesteavbrudd bidrar til klassifiseringen. Hendelser som medfører nedetid utover enhetens definerte toleransenivåer, eller som påvirker tjenester i mer enn 2 timer i perioder med høy aktivitet, vil lettere nå terskelen for alvorlig hendelse. Klokken starter fra tidspunktet tjenesten ble utilgjengelig eller degradert, ikke fra da hendelsen ble oppdaget.
Hendelser som innebærer datatap, datakorrupsjon eller uautorisert tilgang til data vektes tyngre i klassifiseringen. Sensitiviteten til de berørte dataene (personopplysninger, finansielle data, konfidensiell forretningsinformasjon), volumet av kompromitterte registreringer og hvorvidt dataene kan gjenopprettes er alle relevante faktorer. Hendelser med bekreftet datainnbrudd kan utløse parallelle rapporteringsplikter under GDPR.
Hendelser som påvirker virksomhet eller kunder i mer enn to EU-medlemsstater, eller som har økonomisk påvirkning over definerte beløpsgrenser, får ytterligere vekt i klassifiseringen. Den økonomiske påvirkningen omfatter både direkte kostnader (utbedring, bøter, kompensasjon) og indirekte kostnader (omdømmeskade, tapte inntekter). Påvirkning på kritiske eller viktige funksjoner hever også klassifiseringen.
Terskelverdier for alvorlige hendelser
De regulatoriske tekniske standardene som følger DORA gir spesifikke kvantitative terskelverdier som hjelper enheter med å avgjøre når en hendelse går fra å være betydelig til alvorlig. Selv om de fullstendige tabellene finnes i CDR 2024/1772, er hovedprinsippene utformet for rask anvendelse under en pågående hendelse.
Klassifiseringen må skje raskt fordi den utløser 4-timersfristen for rapportering. Det betyr at klassifiseringskriteriene og terskelverdiene må være innarbeidet i hendelsesprosedyrene dine, ikke noe du slår opp under en pågående hendelse. Teamet for hendelseshåndtering bør være trent i å anvende kriteriene og fatte en klassifiseringsbeslutning innen den første timen etter at en hendelse er oppdaget.
Enheter bør ha forhåndsberegnede referanseverdier for prosentbaserte terskler. Å vite at 10 % av kundebasen din tilsvarer et bestemt antall kunder gjør at du kan vurdere kundekonsekvensene umiddelbart, i stedet for å måtte beregne dette under press.
Dersom en hendelse i utgangspunktet ser ut til å ligge under terskelen for alvorlig, men senere forverres, må klassifiseringen revurderes. Blir hendelsen omklassifisert som alvorlig etter først å ha blitt vurdert som ikke-alvorlig, starter 4-timersfristen fra tidspunktet for omklassifiseringen. Løpende overvåking og revurdering gjennom hele hendelsesforløpet er derfor avgjørende.
Rapporteringsfrister
Når en hendelse er klassifisert som alvorlig, utløser DORA en strukturert rapporteringsprosess i tre faser. Fristene er strenge og løper automatisk fra klassifiseringsbeslutningen. Oversittelse av disse fristene er et brudd på regelverket som tilsynsmyndighetene vil merke seg.
ITS-rapporteringsmaler
Alle hendelsesrapporter som sendes til tilsynsmyndigheter skal bruke det strukturerte formatet definert i ITS 2024/2956. Det er altså ikke mulig å sende inn en friformatert e-post eller PDF. Rapporten må følge en spesifikk mal med obligatoriske felter som tilsynsmyndighetens systemer kan behandle.
ITS-malene dekker alle tre rapporteringsfaser (innledende, mellom, slutt) og inkluderer felter for hendelsesidentifikasjon, oppfylte klassifiseringskriterier, konsekvensmålinger, berørte tjenester og funksjoner, hendelsesforløp, rotårsak, utbedringstiltak og kundekommunikasjon. Formatet støtter både XML- og JSON-innsending, avhengig av tilsynsmyndighetens krav.
Å ha disse malene ferdig utfylt på forhånd er avgjørende for å overholde 4-timersfristen for den innledende varslingen. Dersom compliance-teamet ditt må sette seg inn i malformatet midt under en pågående hendelse, vil du ikke overholde fristen. Malene bør være forhåndsutfylt med faste data (enhetsopplysninger, kontaktinformasjon til tilsynsmyndigheten, standard tjenestebeskrivelser) og klare til å fylles ut med hendelsespesifikke detaljer.
DORA GRC forhåndsutfyller ITS-rapporteringsmaler direkte fra hendelsesregistreringen. Når en hendelse logges og klassifiseres, fylles den innledende varslingsmalen automatisk ut med hendelsesdetaljer, berørte eiendeler, tilknyttede funksjoner og leverandørinformasjon. Compliance-teamet gjennomgår og sender inn, i stedet for å bygge rapporten fra bunnen av.
Krav til prosess for hendelseshåndtering
Art. 17 krever at finansielle enheter etablerer, implementerer og vedlikeholder en dokumentert prosess for IKT-hendelseshåndtering. Det handler ikke bare om å rapportere til tilsynsmyndigheten. Kravet omfatter en strukturert tilnærming til å oppdage, klassifisere, håndtere og lære av IKT-relaterte hendelser.
Frivillig rapportering av vesentlige cybertrusler
I tillegg til obligatorisk hendelsesrapportering etablerer DORA en frivillig rapporteringsmekanisme for vesentlige cybertrusler under art. 19(2). Finansielle enheter kan varsle sin tilsynsmyndighet om cybertrusler de anser som vesentlige, selv om trusselen ikke resulterte i en alvorlig hendelse.
Formålet med frivillig trusselrapportering er å gi tilsynsmyndigheter og den bredere finanssektoren et mer komplett bilde av trussellandskapet. Når flere enheter rapporterer lignende trusler, kan tilsynsmyndigheten utstede sektorovergripende advarsler og veiledning. Denne kollektive etterretningsfunksjonen er en sentral del av DORAs tilnærming til systemisk motstandsdyktighet.
Frivillige trusselvarsler er ikke underlagt de samme strenge fristene som obligatoriske hendelsesrapporter, men de bør sendes inn raskt mens trusselinformasjonen fortsatt er handlingsbar. Enheten bør gi detaljer om trusselen, hvordan den ble oppdaget, hvilke kompromitteringsindikatorer som ble identifisert, og hvilke forsvarstiltak som ble iverksatt.
Selv om rapporteringen er frivillig, vil tilsynsmyndighetene sannsynligvis se positivt på aktiv deltakelse i trusselrapportering ved tilsynsgjennomganger. Det vitner om en moden tilnærming til IKT-risikostyring og et engasjement for motstandsdyktighet på tvers av sektoren. For mer om hvordan DORAs fem pilarer henger sammen, se guiden om DORA-samsvar. For å vurdere din nåværende beredskap, prøv den gratis DORA-vurderingen.
Slik støtter DORA GRC hendelsesrapportering
DORA GRC inkluderer en komplett modul for hendelseshåndtering, designet rundt kravene i art. 17-23. Her er hva det innebærer i praksis.
CDR 2024/1772-klassifisering
Hendelsesregisteret klassifiserer hendelser etter CDR 2024/1772-kriteriene automatisk. Registrer konsekvensdata (berørte kunder, nedetid, datatap, geografisk spredning, økonomisk påvirkning), og systemet anvender klassifiseringstersklene for å avgjøre om hendelsen kvalifiserer som alvorlig. Klassifiseringen logges og tidsstemples for revisjonssporing.
Forhåndsutfylling av ITS-maler
Når en hendelse klassifiseres som alvorlig, forhåndsutfylles ITS 2024/2956-rapporteringsmalene automatisk fra hendelsesregistreringen, tilknyttede eiendeler, berørte funksjoner og leverandørdata. Eksporter i XML- eller JSON-format. Compliance-teamet gjennomgår og sender inn i stedet for å bygge rapporter fra bunnen av under tidspress.
Fristsporing
Rapporteringsfristene på 4 timer, 72 timer og 1 måned spores automatisk fra det øyeblikket hendelsen klassifiseres. Nedtellingstidtakere og varsler sikrer at teamet ditt ikke overser en frist. Systemet registrerer når hver rapport ble sendt inn, og skaper et revisjonsspor som dokumenterer overholdelse av fristene i art. 19.
Kobling på tvers av pilarer
Hendelser kobles til IKT-eiendeler, kritiske funksjoner, leverandører og risikoer. Når en hendelse logges, ser du hvilken funksjon som er berørt, hvilken leverandør som er involvert, hvilke risikoer som tidligere er identifisert, og om det finnes BCP-planer for den berørte funksjonen. Denne tverrgående synligheten er avgjørende for effektiv hendelseshåndtering og for korrekt utfylling av ITS-malene. Se alle funksjoner.