DORA-forordningen
Digital Operational Resilience Act
DORA-forordningen (Digital Operational Resilience Act) er en europæisk forordning rettet mod den finansielle sektor. Formålet med DORA er at reducere IT-trusler, forbedre modstandsdygtigheden samt øge omfattede virksomheders evne til at forhindre og håndtere hændelser inden for informations- og kommunikationsteknologi (IKT).
DORA finder anvendelse den 17. januar 2025 og gælder alle finansielle institutioner i EU. For nogle virksomheder betyder forordningen yderligere IT-sikkerhedsforanstaltninger selvom de allerede følger f.eks. ISO 27001 eller COBIT (Control Objectives for Information and Related Technology).
Forstå Dora: Hvad virksomheder bør vide
DORA gælder finansielle institutioner, herunder (men ikke begrænset til) kredit- og betalingsinstitutioner, investeringsselskaber, forsikringsselskaber og mæglere, pensionsfonde og handelsplatforme. Forordningen fastlægger en reguleringsramme for digital modstandsdygtighed, der omfatter IT-risikostyring, obligatorisk hændelsesrapportering, dokumentation af testplaner, risikostyring for tredjeparter samt træning og governance. Overholdelse vil sikre, at virksomheder har de rette systemer på plads til at modstå, reagere og reetablere sig efter IKT-relaterede forstyrrelser og trusler, herunder via tredjeparter.
Forpligtelserne for omfattede virksomheder kan groft set opdeles i fem grupper:
Risikostyring inden for IKT
Test, beredskab og revisioner
Håndtering af sikkerheden hos IT-tjenesteudbydere (tredjepartsrisikostyring)
Håndtering og rapportering af hændelser
Informationsdeling
Vigtigheden af DORA-overholdelse
Selvom DORA er en EU-forordning, påvirker den også tredjeparters IKT-leverandører. DORA tillader kun virksomheder at indgå kontrakt med leverandører, der opfylder de informationssikkerhedskrav, der er fastsat i forordningen. Dette inkluderer cloudtjenester, netværkstjenester, hardwareservices og IKT-rådgivning. DORA er en kompleks regulering, der øger forpligtelserne for mange virksomheder. En forhastet eller uinformeret tilgang kan ikke kun gøre din virksomhed sårbar, men også udsætte dig for juridiske og økonomiske sanktioner. Enhver overtrædelse af kravene kan føre til en bøde på op til 2 % af den samlede årlige omsætning på verdensplan eller op til 1 % af virksomhedens gennemsnitlige daglige omsætning på verdensplan.
løsninger til overholdelse af Dora
Vores eksperter står klar til at hjælpe din virksomhed med at omstille jer til DORA og ikke mindst gøre din virksomhed mere modstandsdygtig uanset hvor den befinder sig på cybersikkerhedsrejsen.
DORA træning for direktionsgangen: DORA kræver, at direktører gennemgår uddannelse for at demonstrere effektiv styring af cybersikkerhedsspørgsmål. Vi har udviklet en DORA-træning for direktionsgangen i samarbejde med De Clercq Lawyers. Gennem træningen opnås indsigt i de risikostyringsforanstaltninger virksomheder som minimum skal tage inden for DORA. Dette éndagskursus kan leveres på en lokation efter dit valg.
DORA GAP-analyse: Vores eksperter kan udføre en DORA GAP-vurdering, der giver et detaljeret overblik over dit nuværende sikkerhedsmodenhedsniveau og de skridt, der skal tages for at overholde DORA. Denne service er baseret på vores gennemprøvede Security Maturity Assessment.
DORA implementeringsløsninger: Vi tilbyder også en række løsninger til at hjælpe med at implementere DORA i din virksomhed. Det specifikke omfang afhænger af resultatet af din DORA GAP-analyse, men kan bl.a. omfatte hændelsrapportering og awareness og behaviour support.
sådan kommer du videre
Hvis din virksomhed er omfattet af DORA, bør du påbegynde forberedelsen allerede nu. Ræk gerne ud til vores cybersecurity-eksperter for at høre mere om DORA-forordningen og hvordan du implementerer de strategier og løsninger, du har brug for til at styre risikoen og overholde kravene.
Hvad er fordelene ved at overholde DORA?
Overholdelse er obligatorisk for nogle virksomheder, men overholdelse af DORA giver også andre fordele blandt andet:
Forbedret modstandsdygtighed over for cyberangreb og bedre håndtering af IKT-trusler
Øget forståelse for IKT-risici i hele organisationen
Bedre kontrol med IKT-forsyningskæderne
Forbedret hændelsesrapportering og informationsdeling
hvorfor vælge Bureau Veritas til at hjælpe med overholdelse af DORA?
Adgang til et team med årtiers erfaring inden for governance, risiko og overholdelse af krav
En række løsninger specifikt udviklet til at opfylde dine behov inden for DORA-forordningen og dermed overholde kravene i DORA
Eksperter inden for områderne; mennesker, processer og teknologi
En dedikeret kontaktperson
En klar køreplan for at blive og forblive DORA compliant
En erfaren samarbejdspartner der er en af de største inden for inspektion, test og certificering
FAQ
-
Hvordan hænger DORA sammen med standarder som ISO 27001?
Eksisterende standarder, f.eks. NIST og ISO 27001, fortæller, hvordan man overholder forskellige love gennem processer såsom træning af personale, udførelse af revisioner og tests, brug af hændelsesstyring og risikostyring i forsyningskæden. Disse typer standarder er en god tilføjelse til DORA, men overholdelse af disse betyder ikke automatisk, at virksomheden overholder DORA, som er en regulering i sin egen ret.
-
Hvordan ændrer DORA kravene til hændelseshåndtering?
Hændelseshåndtering er et kritisk aspekt for at sikre sikkerheden og kontinuiteten af tjenester. Under DORA skal virksomheder have planer på plads for at kommunikere med personale, eksterne interessenter, medierne og kunderne i tilfælde af en hændelse. Interne eskaleringsprocedurer skal også etableres. Derudover skal større hændelser rapporteres til ledelsen med en forklaring på påvirkning, respons og yderligere kontrol, der skal etableres som følge af hændelsen.
-
Hvad er tidsplanen for DORA?
DORA blev vedtaget den 28. november 2022 og trådte i kraft den 27. december 2022. Fra den 17. januar 2025 finder DORA sin anvendelse.
Brug for os?
Du er velkommen til at kontakte os, hvis du står over for en problemstilling, vi skal se på sammen.