Med en massiv ökning på 55 procent av den totala upptäckten av hot under 2022, blir behovet av en mer proaktiv och harmoniserad EU-reglering akut. I det avseendet är DORA också en nyckelkomponent för en fortsatt digital innovation av alla finansiella tjänster.
Säkerhets-resiliens i fokus
Det stora antalet attacker gör att det helt enkelt inte är tillräckligt med att bara försöka skydda sig. I stället är säkerhets-resiliensen avgörande. Förmågan att vara förberedd på en händelse, att veta vad och vart man ska rapportera en incident och att sedan få igång sina tjänster igen efter att en händelse inträffat. Och även att dokumentera dessa rutiner och processer.
För de flesta aktörer inom finanssektorn finns det mesta som behövs redan på plats. Utmaningen nu är att allokera resurserna och få alla funktioner att fungera tillsammans.
Fem huvudområden
För att vara DORA-kompatibla måste finansiella aktörer ha de operativa rutinerna för fem huvudområden på plats:
- IT-riskhantering
DORA ställer krav på motståndskraftiga IT-system och verktyg, tillsammans med förmågan att identifiera, klassificera och dokumentera åtgärder för skydd, upptäckt och förebyggande insatser. Alla aktörer måste kunna svara upp mot attacker, återfå kontrollen, dra lärdomar och utvecklas - med kommunikationsplaner på plats. - Hantering av IT incidenter
För att kunna följa livscykeln för informationssäkerhet behöver aktörer ha en process för hantering av incidenter på plats. Med rutiner för klassificering av incidenter och hot, med fokus på granskning och analys av rot-orsaker efter incidenten, samt med en erforderlig rapportering av större IT-relaterade incidenter till rätt instanser. - Praktisk testning av resiliensen
Aktörer måste testa förmågor och funktioner, med ett riskbaserat tillvägagångssätt. De måste också utföra ett komplett utbud av lämpliga tester, inklusive avancerade penetrationstester med krav på tredjepartstestare. - Riskhantering för tredje part
Övervakning av IT-risker från tredje part blir obligatoriskt genom krav på en registrering av information om användningen av tredjepartsleverantörer. Med riskbedömningar inför avtalsuppgörelser och med innehållskrav på ingångna kontrakt. - Övervakning och rapportering
Alla aktörer behöver rutiner för rapportering av incidenter, både internt och i utbyte med andra finansiella enheter, samt för extern rapportering av större IT-relaterade incidenter.
För att dessa områden ska fungera korrekt och i samspel med varandra måste en bra styrmodell för cybersäkerheten finnas på plats. Den måste säkerställa roller och ansvar, den digitala operativa strategin och policyerna samt övervaka och granska riskhanteringen.
Börja planera arbetet nu
Januari 2025 kan tyckas långt borta men nyckeln till att vara DORA-kompatibel är att börja planera arbetet nu. Utnyttja redan befintliga verksamheter, prioritera arbetet och be om hjälp vid behov.
Genom vår NanoLearning-plattform erbjuder Junglemap ökad säkerhetsmedvetenhet som en tjänst, vilket kan vara till hjälp när utbildning och awareness training blir obligatoriskt, tillsammans med ledningens deltagande i säkerhetsarbetet.
Med våra standardkurser i informationssäkerhet för alla medarbetare och chefer och rollbaserade kurser riktade mot produkt- och utvecklingsteam, hoppas vi kunna bidra med ett viktigt verktyg för alla organisationer som arbetar för att bli digitalt motståndskraftiga.
