Det betyr at én enkelt hendelse hos én tjenesteleverandør kan få konsekvenser for store deler av finansmarkedet, og dermed true den økonomiske stabiliteten i Europa. Dette tilsier at det er behov fra lovgivers hold for å styrke robustheten i dette markedet – et behov som snart vil kunne innfris gjennom implementeringen av Digital Operational Resilience Act (DORA).
I dette nyhetsbrevet tar vi for oss innholdet i DORA, implementeringen i EU og Norge, og hvilke tiltak påvirkede norske virksomheter allerede nå bør begynne å forberede for å sikre etterlevelse.
Status regelverk
EU-kommisjonens forslag til Digital Operational Resilience Act (DORA), er en del av EU-kommisjonens tiltakspakke for digitale sikkerhetstjenester innen finanssektoren. Forordningen ble vedtatt i desember 2022.
I EU trådte regelverket i kraft 16. Januar 2023. Omfattede virksomheter ble gitt en 24-måneders overgangsperiode for implementering og regelverket vil gjelde for omfattede finansforetak som opererer i EU-land fra 17. januar 2025. Det er usikkert om regelverket rekker å bli behandlet i Norge innen den tid. Finansdepartementet sendte i januar 2024 på høring et forslag til norsk implementering av forordningen, med frist for kommentarer 3. april 2024. Regelverket antas å være EØS-relevant og norske virksomheter bør allerede nå begynne forberedelser til etterlevelse av DORA når det trer i kraft i Norge.
Kort om DORA
DORA er et sektorspesifikt regelverk for finanssektoren som skal sikre at det finansielle markedet som helhet har nødvendige tiltak på plass for å forhindre cyberangrep. DORA stiller strengere og harmoniserte krav til finansforetak i EU, samt til deres leverandører innenfor informasjons- og kommunikasjonsteknologi (IKT). Manglende etterlevelse av regelverket kan bli kostbart og kan føre til både administrative gebyrer og tilbakekallelse av konsesjon. Etterlevelse av kravene i DORA krever stor tverrfaglig kompetanse innenfor blant annet teknologi, cybersecurity og juss.
Det er foreslått at i Norge skal Finanstilsynet være tilsynsorgan for overholdelse av DORA. Dette vil imidlertid kunne revurderes i lys av gjennomføringen av NIS1- og NIS2-regelverkene (generelle regler om motstandsdyktighet i nettverks- og informasjonssystemer hos private og offentlige samfunnskritiske aktører) avhengig av om tilsynsmyndigheten for digitalsikkerhetsloven (som gjennomfører NIS1-direktivet i norsk rett) vil legges til eksisterende sektormyndighet eller til en felles myndighet. Departementet har imidlertid foreslått at tilsynsmyndigheten skal legges til eksisterende sektormyndighet slik at Mattilsynet vil ha tilsynsansvar for tilsyn for f.eks. tilbydere av vannforsyningstjenester osv. Det taler for at tilsynsmyndighet for DORA trolig vil være Finanstilsynet.
Hvem blir omfattet av DORA?
DORA vil gjelde for 21 kategorier av finansielle virksomheter, herunder banker og kredittinstitusjoner, betalingsforetak, investeringsselskap, verdipapirhandelsforetak, forvaltningsselskaper, pensjonsfond, forsikringsselskap, revisjonsselskap, tilbydere av kryptvaluta og inkassobyråer. Dette vil omfatte alle finansielle virksomheter som i dag er underlagt Forskrift om IKT-systemer i banker mv (“IKT-forskriften”), men også ytterligere finansielle virksomheter. DORA vil også gjelde for et bredere og mer spesifikt spekter av finansielle og relaterte enheter, inkludert de som er involvert med krypto-eiendeler, kritisk finansiell infrastruktur, og spesifikke typer finanstjenesteleverandører.
Også IKT-leverandører som leverer tjenester for driftskritiske funksjoner til finansielle virksomheter vil være underlagt DORA. Det betyr at IKT-leverandører som tidlig kan vise til at de oppfyller kravene i DORA vil kunne få en markedsfordel.
Det stilles andre krav til «mikroforetak», som er finansforetak med færre enn 10 ansatte og som har en omsetning under 2 millioner euro. Det betyr at de enkelte finansforetakene må vurdere både om hvordan DORA vil gjelde for dem og hvordan kravene i DORA skal implementeres i praksis.
Hvordan vil DORA påvirke norske finansforetak?
Alle finansforetak som opererer i EU-land vil være omfattet av DORA. Dette gjelder også for norske finansforetak som opererer både i Norge og i EU. Mange foretak har i dag implementert standarder som ISO 27001 (standard for ledelsessystemer innen informasjonssikkerhet). ISO 27001 dekker ulike områder som er relevante for etterlevelse av DORA, inkludert kravene til risikovurdering, hendelsesvarsling, forretningskontinuitet og operasjonell robusthet. Men virksomheter som har implementert ISO 27001 vil ikke automatisk være DORA-compliant. For eksempel er ikke ISO 27001 like tydelig på kravet til penetration testing, som er en av pilarene i DORA-regelverket.
DORA stiller krav til finansforetak i hele det indre marked. For å oppfylle DORA må foretak etablere solide rammeverk for styring av IKT-risiko og rutiner for rapportering av IKT-hendelser, de må sørge for regelmessig testing av IKT-systemenes robusthet og motstandsdyktighet, håndtering av IKT-risiko knyttet til tredjeparter, samt gjennomføre informasjonsdeling i tråd med konkurranse- og personvernlovgivningen. DORA stiller også krav til at alle finansforetak ha grundig dokumentasjon over rammeverket for IKT-risiko, og også dokumentere jevnlig (minst årlig) en gjennomgang av rammeverket.
Hvilke krav stiller DORA til bruk av IKT-leverandører?
Mens IKT-forskriften § 12 i dag kun stiller krav til at finansforetak har ansvar for at leverandører oppfyller alle kravene i IKT-forskriften ved utkontraktering, går DORA lengre hva gjelder detaljering i hvilke krav som stilles til IKT-leverandører.
DORA skiller mellom bruk av kritiske og ukritiske IKT-leverandører. Med begrepet «kritiske IKT-leverandører» menes alle IKT-leverandører som finansforetak direkte eller indirekte benytter seg av og som har en kritisk og avgjørende betydning for finansforetakets kritiske prosesser.
IKT-leverandører som etter DORA vurderes som kritiske vil være underlagt Oversight Framework i DORA kapittel V section II, som er et omfattende rammeverk som regulerer effektiv kontroll over slike leverandører. Det betyr at også skyleverandører og tilbydere av annen kritiske tjenester til finansforetak vil kunne bli pålagt strenge krav og tilsyn.
For de ukritiske leverandørene vil DORA få en indirekte betydning ved at det må inkorporeres ytterligere vilkår i avtalen mellom finansforetaket og IKT-leverandøren. Dette vil være vilkår knyttet til bl.a. varsling av sikkerhetsbrudd og revisjonsadgang. DORA art. 27 oppstiller hvilke krav som stilles til innhold i avtalen.
DORAs oppbygning og innhold
DORA er inndelt i fem overordnede områder (pilarer) som sammen skal sørge for operasjonell motstandsdyktighet og ansvarlig digitalisering:
1. IKT-risikostyring og ansvarsplassering
I tråd med NIST-rammeverket[1] oppstiller DORA krav til spesifikke funksjoner innen IKT-risikostyring. Disse kravene er knyttet til identifisering, beskyttelse og forebygging, deteksjon og gjenoppretting, læring og utvikling, og kommunikasjon. DORA krever videre at virksomhetens ledelsesorgan tar «fullt og endelig ansvar» for håndtering av IKT-risikoer. Dette innebærer bl.a. ledelsens godkjenning av firmaets strategi for bruk av IKT-leverandører, samt en overordnet strategi for den operasjonelle motstandsdyktigheten i foretaket.
2. Hendelsesrapportering
DORA pålegger finansforetak å rapportere alvorlige IKT-relaterte hendelser til tilsynsmyndighetene. Det legges også opp til at berørte brukere skal informeres. Lignende rapporteringsforpliktelser finner vi også i bl.a. CRA (Cyber Resilience Act), GDPR (General Data Protection Regulation) og NIS-direktivene (Network and Informations Systems Directives 1 og 2). DORAs rammeverk for hendelsesrapportering vil potensielt kunne bidra til å øke finansforetakenes evne til å analysere, klassifisere og rapportere IKT-hendelser og trusler.
3. Digital operasjonell stabilitetstesting
DORA stiller krav til at finansforetaket minst årlig gjennomfører sikkerhetstester og tester for motstandsdyktighet i sine systemer. For de finansforetakene som anses særlig viktige pålegger DORA i tillegg at det gjennomføres avanserte simuleringer av cyberangrep minst hvert tredje år. Testene skal gjennomføres av sertifisert personell som har dokumentert tilstrekkelig kompetanse for å gjennomføre slike tester. Alle potensielle sårbarheter som avdekkes gjennom testingen skal adresseres og dokumenteres.
4. Risiko fra kritiske tredjeparts IKT-leverandører
Alle IKT-leverandører skal som en integrert del av finansforetakets IKT-risikostyring overvåkes og risikovurderes. Finansforetakets strategi for bruk av IKT-leverandører skal vurderes jevnlig og en klar exit-strategi må være på plass for alle IKT-leverandører. I tillegg må alle krav til avtaler som stilles etter DORA art. 27 og Oversight Framework være oppfylt.
5. Informasjonsdeling
Med formål om økt informasjonsdeling mellom finansforetakene i EU, oppstiller DORA krav knyttet til informasjonsdeling. Målet er å sørge for at finansforetakene deler informasjon og etterretning innenfor cybersikkerhet og potensielle trusler og dermed styrker den totale motstandsdyktigheten i EUs finansmarked som helhet. DORA krever derfor at finansforetak og tilsynsmyndigheter i enda større grad må samarbeide på tvers av landegrensene.
Hvordan bør IKT-leverandører som leverer tjenester til finansforetak som opererer i EU, og fremtidige omfattede norske finansforetak forberede seg?
Alle finansforetak som opererer i EU-land vil være omfattet av DORA og har frem til 16. januar 2025 på å innrette seg etter de nye kravene. Dette gjelder også for norske finansforetak som operer i EU-land. Dette innebærer å:
- Fastsette og avklare ansvar for implementeringen av DORA
- Påstarte overordnet strategiarbeid i ledelsen
- Få oversikt over foretakets modenhet ved å gjennomføre en GAP-analyse (readiness assessment)
- Gjøre nødvendige oppdateringer i foretakets internkontrollprosesser og rutiner
- Identifisere og dokumentere kritiske leverandører, systemer og prosesser.
- Gjennomgå avtaleverk slik at de overholder kravene i DORA art. 27
For norske IKT-leverandører som leverer tjenester til finansforetak i EU vil det være viktig å kunne påvise at de er DORA-compliant i markedet. Slike IKT-leverandører bør derfor allerede nå begynne å:
- Kartlegge om, og i hvor stor grad, kravene i DORA vil gjelde for dem
- Vurdere om man er å anse som en kritisk IKT-leverandør
- Implementere nødvendige tiltak som vil kreves av dem som IKT-leverandør
- Forberede seg på en grundig gjennomgang og revidering av eksisterende avtaleverk med kunder
På grunn av kravenes kompleksitet og omfang anbefales det at også at andre norske finansforetak som senere vil bli omfattet av DORA gjennom implementering i norsk lov, og IKT-leverandører som leverer tjenester til disse, allerede nå begynner tilsvarende forberedelser.