DIGITAL OPERATIONAL RESILIENCE ACT (DORA)
FÖRSTÅELSE AV DORA: VAD FÖRETAG BEHÖVER VETA
DORA gäller för finansiella institutioner, inklusive (men inte begränsat till) kredit- och betalningsinstitutioner, investeringsföretag, försäkringsbolag och mellanhänder, pensionsfonder och handelsplattformar. Förordningen fastställer ett regulatoriskt ramverk för digital operativ motståndskraft, som omfattar IT-riskhantering, obligatorisk incidentrapportering, dokumentation av testplaner, hantering av tredjepartsrisker samt utbildning och styrning. Efterlevnad kommer att säkerställa att företag har de korrekta systemen på plats för att kunna motstå, svara på och återhämta sig från alla typer av ICT-relaterade störningar och hot, inklusive genom tredje parter. Förpliktelserna för berörda företag kan grovt delas in i fem grupper:
• Riskhantering
• Testning och revisioner
• Hantering av säkerheten hos IT-tjänsteleverantörer
• Incidenthantering
• Informationsutbyte
VIKTEN AV DORA-EFTERLEVNAD FÖR ORGANISATIONER
Även om DORA är en EU-förordning påverkar den också tredje parts ICT-leverantörer. DORA tillåter endast företag att ingå avtal med leverantörer som uppfyller informationssäkerhetskraven som anges i ramverket. Detta inkluderar molntjänster, nätverkstjänster, hårdvarutjänster och ICT-rådgivning. DORA är en komplex förordning som ökar förpliktelserna för många organisationer. Ett förhastat eller oinformerat tillvägagångssätt kan inte bara göra din organisation sårbar, utan också utsätta dig för juridiska och ekonomiska sanktioner. Varje överträdelse av kraven kan leda till en böter på upp till 2 % av den totala årliga globala omsättningen eller upp till 1 % av företagets genomsnittliga dagliga globala omsättning.
DORA-EFTERLEVNAD TJÄNSTER FRÅN BUREAU VERITAS
Våra experter på Secura, ett företag inom Bureau Veritas, erbjuder en rad tjänster för att stödja efterlevnad av DORA, oavsett var du befinner dig på din cybersäkerhetsresa.
-
DORA-UTBILDNING
DORA kräver att direktörer genomgår utbildning för att visa effektiv styrning av cybersäkerhetsfrågor. Vi har utvecklat DORA-styrelseutbildning i samarbete med De Clercq Lawyers, som ger insikt i de riskhanteringsåtgärder som organisationer måste vidta som ett minimum enligt DORA. Denna endagskurs kan hållas på en plats du väljer.
-
DORA-GAP-ANALYS
Vårt specialteam kan utföra en DORA-gap-analys, som ger en detaljerad översikt över din nuvarande säkerhetsmognadsnivå och de steg du behöver ta för att bli DORA-kompatibel. Denna tjänst är baserad på vår beprövade Security Maturity Assessment.
-
DORA-IMPLEMENTERINGSTJÄNSTER
Vi erbjuder också en rad tjänster för att hjälpa till med implementeringen av DORA i din organisation. Den specifika omfattningen av vår lösning beror på resultatet av din DORA-gap-analys, men kan inkludera vår CyberCare-säkerhetstjänst, säkerhetsstyrning, medvetenhet och beteendestöd, incidentrespons och leverantörssäkerhetstjänster.
STEG FÖR ATT UPPNÅ DORA-EFTERLEVNAD
Om du redan vet att din organisation omfattas av DORA är det viktigt att börja förbereda sig för efterlevnad tidigt. Prata med våra cybersäkerhetsexperter för att förstå mer om den initiala DORA-bedömningen och planeringen samt hur du implementerar de strategier och lösningar du behöver för att hantera risker och uppnå efterlevnad.
VILKA ÄR FÖRDELARNA MED DORA-EFTERLEVNAD?
Efterlevnad är obligatorisk för vissa organisationer, men efterlevnad av DORA kommer också att ge andra fördelar, inklusive:
• Förbättrad cyberresiliens och bättre planering för ICT-hot
• Ökad förståelse för ICT-risker i hela organisationen
• Bättre kontroll över ICT-leverantörskedjor
• Förbättrad incidentrapportering och informationsdelning
VARFÖR VÄLJA BUREAU VERITAS FÖR DINA DORA-EFTERLEVNADSBEHOV?
• Erfaret team med årtionden av erfarenhet inom governance, risk och efterlevnaD
• En rad tjänster specifikt utvecklade för att möta dina DORA-behov och hjälpa dig att bli DORA-kompatibel
• Cybersäkerhetsexperter inom människor, processer och teknik
• En enda kontaktpunkt och en beprövad partnerskapsstrategi
• En tydlig färdplan för att bli och förbli DORA-kompatibel
• Stöds av Bureau Veritas globala expertis, en världsledare inom test-, inspektions- och certifieringstjänster
HUR RELATERAR DORA TILL BEFINTLIGA RAMVERK SOM ISO 27001?
Befintliga riskramverk, såsom NIST och ISO 27001, ger vägledning om hur man följer olika lagar genom processer som utbildning av personal, genomförande av revisioner och tester, användning av incidenthantering och leverantörskedjehantering. Dessa typer av riskramverk är ett bra komplement till DORA, men efterlevnad av dessa standarder innebär inte automatiskt att du följer DORA, som är en egen regel.
HUR KOMMER DORA ATT ÄNDRA KRAVEN FÖR INCIDENTRESPONS?
Incidenthantering är en kritisk aspekt för att säkerställa säkerheten och kontinuiteten i tjänsterna. Under DORA måste företag ha planer på plats för att kommunicera med personal, externa intressenter, medierna och kunderna i händelse av en incident. Interna eskaleringsprocedurer måste också etableras. Dessutom måste större incidenter rapporteras till relevant ledning och "ledningsorganet", med en förklaring av påverkan, responsen och ytterligare kontroller som ska upprättas som en följd av incidenten.
VILKEN ÄR TIDSPLANEN FÖR DORA?
Den första serien av DORA-policyprodukter publicerades den 17 januari 2024 och DORA gäller från den 17 januari 2025.