Hva er DORA og hvordan vil det påvirke oss?
Johan Røthe, CEO i Advisense, ett av de ledende foretakene i Nord-Europa innen governance, risk og compliance, svarer på spørsmål om det nye regelverket.
Hva er DORA og hvorfor diskuterer EU å innføre dette regelverket?
— De som følger med på finanssektoren har de siste årene sett en betydelig endring, både i takten på, utvikling i og omfanget av regulatoriske krav, forteller Johan Røthe, en av Norges ledende eksperter på risikostyring og regulatorisk etterlevelse.
— EU vedtok høsten 2020 Digital Finance Package (DFP), som omfatter både en ny digital strategi og nye regelverksforslag. I takt med økende digitalisering øker også avhengigheten og sårbarheten i det finansielle systemet. Risikoer knyttet til informasjons- og kommunikasjonsteknologi (IKT) anses derfor å utgjøre en vesentlig trussel mot den finansielle stabiliteten. Risikoen må bli forstått og håndtert, særlig under stress. DFP inkluderer derfor blant annet et forslag til Digital Operational Recilience Act (DORA).
— Med DORA foreslås et fremtidsrettet og forebyggende regelverk knyttet til å håndtere og redusere digitale risikoer, samtidig som regelverket harmoniseres i EU og skaper like konkurransevilkår
sier Johan Røthe
Hvilke foretak innen finanssektoren vil påvirkes av DORA?
— DORA vil gjelde for de fleste aktører innenfor finansnæringen, herunder finansforetak, forsikringsforetak, infrastrukturforetak, verdipapirforetak og kapitalforvaltere, i tillegg til mer utradisjonelle tilbydere som kryptotjenesteleverandører, folkefinansieringstilbydere og tredjepartsleverandører.
Hva er formålet med DORA og hvilke konsekvenser vil det ha?
— Ved å harmonisere regelverket innen informasjonssikkerhet, skal DORA bidra til å øke aktørenes digitale operasjonelle motstandsdyktighet og gjøre organisasjonene i stand til å identifisere og beskytte seg mot trusler og potensielle forstyrrelser. De skal være i stand til å gjenopprette tjenestetilbudet og lære av gjennomførte tester, for å minimere forstyrrelsenes innvirkning på levering av kritiske tjenester. DORA stiller høyere krav til foretakenes styre og ledelse når det gjelder risikostyring og internkontroll knyttet til IKT-risiko, herunder krav om at det foreligger strategier, retningslinjer, IKT-protokoller og IKT-verktøy. DORA stiller også mer omfattende krav til styrets kompetanse om IKT-risiko og at de regelmessig skal gjennomgå særskilt opplæring for å sikre tilstrekkelig og aktuell kompetanse til å vurdere konsekvensene av IKT-risiko for virksomheten.
— DORA stiller videre krav til ulike former for sikkerhetstesting og penetrasjonstesting av den digitale operasjonelle motstandskraften, og til håndtering av hendelser og utkontraktering til IKT-leverandører. Det stilles også betydelig høyere krav til de som skal utføre trusselstyrte penetrasjonstester som inkluderer sertifisering. Om eksterne testere benyttes, må disse også ha ansvarforsikring, forteller Johan Røthe.
Hvordan vil DORA påvirke det finansielle markedet i Norge?
— Kritiske tredjepartsleverandører av IKT-tjenester vil underlegges tilsyn av de europeiske tilsynsmyndighetene. Dette innebærer at en ny gruppe foretak må forberede seg på å etterleve nye krav og tilsynsmessig oppfølging fra tilsynsmyndighetene i EU.
— DORA tydeliggjør videre ansvarsforholdet mellom nasjonale og europeiske tilsynsmyndigheter når det gjelder tilsynsmessig oppfølging, og reduserer den digitale fragmenteringen innen EUs indre marked. Videre økes kravene ved bruk av IKT-tredjepartsleverandører og rapporteringsbyrden for berørte aktører reduseres. Formålet er å skape et felles regelverk for de ulike aktørene som opererer innen bank- og finansbransjen, fortsetter Røthe.
Hva trenger foretak innen finanssektoren i Norge å forberede seg på når det gjelder DORA?
— EBA (European Banking Authority) og EIOPA (European Insurance and Occupational Pensions Authority) har publisert retningslinjer for sikkerhet, risikostyring og governance innen IKT. Finanstilsynet forventer at norske banker og forsikringsforetak følger disse retningslinjene. Aktører som allerede etterlever disse, er posisjonert til å tilfredsstille deler av DORA-kravene, men krav knyttet til utkontraktering og gjennomgang av IKT-tredjepartsleverandører er bredere og stiller høyere krav enn gjeldende retningslinjer. I tillegg stilles det andre krav til hendelseshåndtering og sikkerhetstesting.
— For aktører som ikke omfattes av EBAs eller EIOPAs retningslinjer, og dermed ikke har tilpasset seg IKT-retningslinjene, kan det forventes behov for vesentlige tilpasninger for å etterleve kravene i DORA. Introduksjonen av DORA kommer til å medføre et større arbeid for å implementere kravene i forordningen.
— Etterlevelse av regelverk kan kreve ulik tilnærming. DORA karakteriseres ved kontinuerlig bekreftelse av etterlevelse som krever mer frekvent oppfølging enn periodiske etterlevelsekontroller som er vanlig i andre regelverk. Når du som aktør arbeider med og analyserer regelverk i forbindelse med implementering, er det viktig å forstå karakteren og tematikken i regelverket for å sikre en god, men også effektiv etterlevelse. – DORA er ikke vedtatt i EU. Forslaget er nå til forhandling i Rådet, og det er uklart når det kan forventes vedtatt. Regelverket anses EØS-relevant, og må forventes gjennomført i norsk rett, avslutter Johan Røthe.