Implementering af DORA

Implementering af DORA og den tilhørerende systemunderstøttelse, skal indeholde komponenter der dækker hele risikostyringen for virksomheden, ligesom det skal indeholde værktøjer til tilsyn, konsekvensanalyser af processer og aktiviteter, opgørelse af hændelser i tab.

DORA er relevant for en række finansielle virksomheder, herunder:​

  • Kreditinstitutter, betalingsinstitutter, e-pengeinstitutter og investeringsselskaber.​​
  • Forsikrings- og genforsikringsvirksomheder, større forsikringsformidlere og arbejdsmarkedspensionsselskaber,​
  • Værdipapircentraler, investeringsforvaltningsselskaber.​
  • Kreditvurderingsbureauer.​
  • It-leverandører som er systemiske på EU-niveau

DORA stiller særlige krav til:​

  • IT-risikostyring​
  • Indberetning af større IT-relaterede hændelser til myndighederne​
  • Test af cybersikkerhed​
  • Udveksling af oplysninger og efterretninger om cybertrusler og sårbarheder​
  • Styring af it-tredjepartsrisici i finansielle virksomheder​
  • Kontrakter (om fx outsourcing), der indgås mellem IT-leverandører og finansielle virksomheder​
  • Overvågning af IT-leverandører, som er kritiske for den finansielle sektor på EU-niveau​
  • Samarbejde mellem kompetente myndigheder og om de kompetente myndigheders tilsyn og håndhævelse af reglerne.

Udfordring

DORA står for Digital Operational Resilience Act, og består blandt andet af en hovedforordning, med de overordnede regler om tilsyn med it- og cybersikkerhed, samt en række supplerende regler, som skal udarbejdes når forordningen træder i kraft den 17. januar 2025.

Arbejdet med DORA kan således ikke løses af isolerede systemer som kun dækker ISMS eller compliance perspektivet. Risikostyringen skal f.eks. kobles sammen med de centrale risikovurderingsmetoder og -processer og den fælles rapportering til direktion og bestyrelse.

Derfor er DORA implementeringen en tværfaglig disciplin på tværs af forsvarslinjer og domæner som IT-sikkerhed, Compliance, Jura, Revision og forretningens overordnede strategi.

Arbejdet skal struktureres og indarbejdes proportionalt med virksomhedens forretningsmodel, størrelse og risikoprofil.

Det kræver ekspertise og erfaring i, at forstå og fortolke kravene ind i en operationel håndterbar hverdag, hvor der hverken under- eller overimplementeres og man sikrer at alle ressourcer anvendes optimalt.

Løsning

LinkGRC har arbejdet med at rådgive den finansielle sektor i snart to årtier, med fokus på operationelle og anvendelige løsninger og en dyb forståelse for kravene og den historiske udvikling i krav til den finansielle sektor, både nationalt og på regionalt og europæisk plan.

Vi har standardiseret arbejdet omkring DORA og udarbejdet skabeloner der bygger videre på Bilag 5 / EBA ICT guidelines for alle delelementer som fx politikker, forretningsgange og kontroller, og vi vedligeholder løbende IT-risikovurderinger af de 20-25 mest anvendte tredjeparts leverandører.  Vi kan hjælpe jer hele vejen fra analyser til implementering og systemunderstøttelse.

Vi har ligeledes overblikket over de fem søjler fordelt på de tre forsvarslinjer. Og har udarbejdet det nødvendige overblik over typiske leverancer og krævende aktiviteter for at gå fra Bilag 5 til DORA.​​

LinkGRC’s cloud platform er klargjort til at holde styr på disciplinerne. Løsningen er baseret på allerede anvendte metoder til:​

  • Dokumentstyring
  • Hændelseshåndtering og opgørelse​
  • Kontrolafvikling​
  • Risikostyring mod forretningens mål på tværs af risikostyringskategorier​
  • Outsourcing register​
  • Forretningskonsekvensanalyser (herunder afviklingsberedskab o.a. metoder til identifikation og mapning af kritiske funktioner og aktiviteter).​
  • Løsningen baserer sig på at man løbende kan vedligeholde og sikre (via opgaver og automatiserede notifikationer) at disse udføres til tiden.​
  • Tilsynsaktiviteter fra kontrolfunktioner, compliance og intern revision.​

Der kan nemt skabes et overblik over områdernes tilstand både til direktion og bestyrelse men også i tilfælde af en it-inspektion fra ekstern revisor eller tilsyn.

Kom godt i gang med arbejdet omkring DORA. Vi står klar til at hjælpe i alle faser. Send os en besked og vi kontakter dig hurtigst muligt.

Kontakt os

LinkGRC Webinar - DORA Opdatering

GRC Platformen leverer gennemprøvet og veldokumenteret risikostyring.

Læs mere