DORA kommer – vær klar
Den 17. januar 2025 skal danske pengeinstitutter være klar til Digital Operational Resilience Act – bedre kendt som DORA-forordningen. Det er en opgave, der kræver forberedelse, lyder det fra chefkonsulent Thit Larsson Holmbo.
Kravene stiger, når DORA-forordningen træder i kraft 17. januar. Det handler om digital sikkerhed, og alle pengeinstitutter får en opgave.
Af Thit Larsson Holmbo, chefkonsulent
Pengeinstitutterne spiller en vigtig rolle i samfundets kritiske infrastruktur. De leverer nødvendige funktioner for både virksomheder, private og samfundet, og de opbevarer store mængder af oplysninger.
Det betyder, at sektoren er i stor risiko for cyberangreb.
Den 17. januar 2025 bliver kravene til pengeinstitutternes digitale modstandsdygtighed øget, når DORA-forordningen træder i kraft.
Kort fortalt er målet med DORA, at pengeinstitutterne skal være rustet til at håndtere det digitale trusselsbillede. Heldigvis er mange pengeinstitutter hjulpet godt på vej af samarbejdet med en datacentral.
Men: DORA er omfangsrig og stiller mange krav til det enkelte pengeinstitut, dets ledelse og medarbejdere. Så selvom vi har datacentralerne, er der stadig en opgave for pengeinstitutterne i at sørge for, at DORA bliver en del af dagligdagen.
Krav om uddannelse, tests og indberetninger
Noget af det, der kommer til at ligge ved pengeinstitutterne, er kravet om uddannelse af alle medarbejdere, flere indberetninger til myndighederne, tests af digital operationel modstandsdygtighed og at outsource IKT-løsninger.
Når DORA træder i kraft, skal alt det behandles under et nyt regelsæt og med nye procedurer.
Sikkert pengeinstitut – sikre kunder
Den skærpede regulering kommer med en række betydelige fordele for det enkelte pengeinstitut, når vi arbejder med at sikre både kunder og organisation mod cybertrusler.
DORA kommer til at skabe øget bevidsthed omkring IT-risici, der kommer på dagsordenen på alle niveauer af et pengeinstitut. Med andre ord sikrer DORA, at hele pengeinstituttet har god viden om risici og trusler, hvordan man undgår at blive ramt – og hvordan man reagerer, hvis man bliver ramt.
Indberetningerne, som kan virke proceduretunge og omfangsrige, er data, som myndighederne bruger. Så de bidrager til, at sektoren er stabil, og at tilliden til samfundet – og det enkelte pengeinstitut – opretholdes.
Så selvfølgelig skal alle implementere DORA. Er ovenstående ikke argumenter nok, er det værd at huske på, at DORA også giver Finanstilsynet væsentligt flere værktøjer i sanktionskassen.
Fremover kan de tildele alt fra påbud og advarsler til inddragelse af banklicensen.
Effektivt at gøre det rigtigt første gang
Implementeringen af DORA er en kompleks opgave, som kræver ressourcer. Heldigvis er pengeinstitutterne trænede i at implementere ny lovgivning, uanset kompleksitet. Bare indenfor de seneste år har ledelsesbekendtgørelsens krav til IT-sikkerhed betydet store ændringer.
Flere dele af DORA er derfor ikke helt fremmede, men kommer i en ny indpakning. Nu skal vi blot ”knække nøden” og finde ud af, hvordan vi håndterer de nye krav.
Kom godt i gang og kom godt på plads
Vi ved, at DORA i mange pengeinstitutter fylder meget. Selvfølgelig især for de medarbejdere, som skal håndtere den.
For at lykkes er det vigtigt at vide, hvad forventningerne er til opgaven og hvordan, man løser den. Det hjælper vi naturligvis med - helt konkret og håndgribeligt.
Aktuelt har vi flere ting i kalenderen, som kan hjælpe jer, når vi rammer d. 17. januar.
-
Vi gentager det populære onlinekursus ”It-styring og cyberrisiko – få overblik over DORA" til foråret, ligesom alle nye bestyrelsesmedlemmer via grundkurset har fået en grundig indføring i de kommende krav i DORA.
Vi implementerer løbende uddannelseskravene i DORA, hvor de hører til. Så I kan være sikre på, at kravene er opfyldt, når I bruger FU’s løsninger.
