Digital Operational Resilience Act (DORA) – Alt du trenger å vite
10/03/25
– Virksomhetene bør starte med en gap-analyse: Hvordan gjør vi det i dag? Hva er det som kreves av oss innen første kvartal 2025 når DORA skal håndheves?, sier Margrethe Rønning, cyber-direktør i PwC.
DORA-proposisjonen er her
Fredag 7. mars la Finansdepartementet frem lovproposisjonen som implementerer EUs DORA-forordning til norsk rett. Forslaget til ny lov om digital operasjonell motstandsdyktighet omtales som DORA-loven. Loven forventes å tre i kraft i løpet av 2025 og styrker kravene til IKT-sikkerhet i nettverks- og informasjonssystemer for norske finansforetak. Formålet bak regelverket er å øke tilliten til det finansielle markedet og unngå store kostnader og konsekvenser ved cyberangrep og andre IKT-hendelser.
Les mer: PwCs Cybercrime Survey: Trusselaktørene spesialiserer seg på skyløsninger
Hva er DORA-loven?
DORA-forordningen, Digital Operational Resilience Act (Regulation (EU) 2022/2554), trådte i kraft i Europa 17. januar 2025. Regelverket skal styrke IKT- og cybersikkerhet i europeiske finansforetak, og består av fem hovedområder:
- Styring av IKT-risiko
- Hendelseshåndtering
- Testing av digital motstandsdyktighet
- Håndtering av tredjepartsrisiko
- Informasjonsdeling
Finansdepartementet foreslår at DORA-forordningen inkorporeres i norsk lov i sin helhet. Videre åpner DORA-loven for at utfyllende regler til DORA-forordningen, eksempelvis gjennomføring av tekniske reguleringsstandarder, kan innlemmes i norsk lov.
Når trer DORA-loven i kraft?
DORA-forordningen kan tidligst tre i kraft etter at EU-komitéens beslutning om innlemmelse trer i kraft. I tillegg må lovforslaget vedtas av Stortinget før loven kan settes i kraft. Finansdepartementets lovproposisjon gir ikke estimat for ikrafttredelse av loven, men forventninger fra Finanstilsynet og markedet taler for sommeren 2025.
En større IKT-hendelse vil kunne gi store kostnader for virksomheten og deres kunder. Formålet med DORA er å redusere sannsynligheten for slike hendelser ved å styrke den digitale operasjonelle motstandsdyktigheten i finanssektoren.
Hvem omfattes av DORA-loven?
Et bredt spekter av finansielle foretak vil omfattes av DORA-loven. I tillegg til foretak nevnt i DORA-forordningens artikkel 2 nr. 1, som banker, forsikringsforetak og verdipapirforetak, kan følgende foretak helt eller delvis bli underlagt DORA-loven:
- Finansieringsforetak
- Låneformidlingsforetak
- Inkassoforetak
- Eiendomsmeglingsforetak
- Morselskap i finanskonsern
- Foretak nevnt i DORA-forordningens artikkel 2 nr. 3, eksempelvis AIF-managere og forsikringsforetak som er omfattet av Solvens II
Det er også verdt å nevne at DORA-forordningen gjelder for leverandører av IKT-tjenester til finanssektoren. Disse er per i dag ikke direkte omfattet av IKT-forskriften.
– PwC har et dedikert DORA-team som jobber tett med vårt globale nettverk for å gi de beste rådene. Vi hjelper deg gjerne med å forberede deg på den nye loven, sier Kjersti Aksnes Gjesdahl, partner i PwC.
Ta DORA-sjekken: Har din virksomhet kontroll?
- IKT risikostyring
- Hendelsesrapportering
- Testing av motstandsdyktighet
- Risikostyring av IKT-tredjeparter
- Informasjonsdeling
IKT risikostyring
DORA stiller krav til etablering av et omfattende rammeverk for IKT-risikostyring, som:
Installere og vedlikeholde robuste IKT-systemer og verktøy som minimerer konsekvensene av IKT-hendelser
Identifisere, klassifisere og dokumentere kritiske funksjoner og informasjonsverdier.
Kontinuerlig overvåke alle kilder til IKT-risiko for å etablere beskyttelses- og forebyggingstiltak
Etablere system for umiddelbar oppdagelse av unormal aktivitet og hendelser
Etablere dedikerte planer for opprettholdelse av drift, krise- og beredskapsplaner samt gjenopprettingsplaner med krav til årlig testing (skal inkludere alle støttefunksjoner)
Etablere en sikkerhetskultur med mekanismer for læring og utvikling, basert på trusseletterretning samt eksterne og interne IKT-hendelser.
Hendelsesrapportering
Det stilles krav til etablering av rapporteringsrutiner, herunder:
- Utvikle en strømlinjeformet prosess for å logge og klassifisere alle IKT-hendelser. Dette innebærer å avgjøre hvilke hendelser som skal regnes som “alvorlige” i henhold til kriteriene beskrevet i DORA og nærmere spesifisering fra de europeiske tilsynsmyndighetene (ESA).
- Rapportere på IKT-hendelser i start-, mellom- og sluttfasen av hendelsen. Harmonisere rapporteringen av IKT-relaterte hendelser gjennom bruk av malverk utviklet av ESA.
Testing av motstandsdyktighet
Det stilles krav til:
Å identifisere, mitigere og omgående eliminere svakheter, mangler og hull i IKT-systemenes motstandsdyktighet
Gjennomføre årlig grunnleggende test av IKT-systemer og verktøy
Periodisk (minimum hvert 3. år) utføre avansert Threat-Led Penetration Testing (TLPT) for IKT-tjenester som omfatter virksomhetens kritiske funksjoner
Tredjepartsleverandører av IKT-tjenester om å samarbeide og delta i testaktivitetene
Bruk av pålitelige og kompetente testere
Les mer: Slik kan vi hjelpe deg med etisk hacking og penetrasjonstesting
Risikostyring av IKT-tredjeparter
Sikre overvåkning av risikoer knyttet til avhengighet av IKT-tredjepartsleverandører
Harmonisere sentrale elementer av tjenestene og samarbeidene med tredjeparts IKT-leverandører for å muliggjøre en helhetlig overvåkning av alle tjeneste de leverer
Utarbeide og rapportere et komplett register over utkontrakterte aktiviteter, inkludert interne tjenester og endringer i utkontraktering av kritiske tjenester til IKT-leverandører
Ihensynta risikoen forbundet med IKT-konsentrasjon og risiko som oppstår ved utkontraktering til underleverandører
Sørge for at kontraktene med IKT-leverandører inneholder alle nødvendige overvåkings- og tilgjengelighetsdetaljer
Kritiske IKT-leverandører vil være underlagt et tilsynsrammeverk fra EU. Her kan det gis anbefalinger om risikoreduserende tiltak for identifiserte IKT-risikoer. Finansielle virksomheter må hensynta risikoen det innebærer å bruke IKT tredjepartsleverandører som ikke følger de definerte anbefalingene.
Les om hvordan vi kan hjelpe deg med tredjepartsattestasjoner
Informasjonsdeling
Ordninger for utveksling av trusseletterretning.
Samarbeid mellom pålitelige fellesskap av finansielle enheter.
Mekanismer for å analysere og agere på delt informasjon.
Dette bør du gjøre for å bli klar for DORA:
Dette er metodikken som kan brukes ved modenhetsanalyse:
Avtaler, avklaring rundt intervju og deling av dokumentasjon. Planlegging og tidslinje. Diskusjon rundt eksterne, interne og regulatoriske krav.
PwC innhenter data og informasjon som grunnlag for analyse og gjennomfører dokumentgjennomgang. PwC gjennomfører intervjuer med nøkkelressurser for å forstå virksomhetens modenhet, interne/eksterne krav og implementerte kontroller.
Analyse av informasjon innhentet i intervjuer og dokumentasjon. Vurdering av modenhet opp mot DORA, trussellandskapet til virksomheten og eksisterende internkontroll. PwC utarbeider en strukturert rapport basert på innsamlet og evaluert informasjon.
Rapport forankres med nøkkelressurser, revisjonsutvalg og andre interessenter. Vi legger til rette for et avsluttende møte med overlevering av endelig rapport.
Brudd kan gi bøter opptil 50 millioner kroner
DORA-loven tilpasser kravene til hver virksomhets størrelse og risiko. Finanstilsynet kan lage enklere regler for noen bedrifter, men det er viktig at alle berørte forstår hvordan loven vil påvirke dem.
Overgangen til DORA krever mye innsats. Bedriftene må gjennomgå avtaler, kontrollsystemer, og sørge for opplæring av ansatte.
Finanstilsynet fører allerede tilsyn med IKT-sikkerhet, i tråd med DORA-loven. Det er viktig å forberede seg, da brudd kan føre til bøter opptil 50 millioner kroner.
Vi samarbeider med mange norske finansforetak om å implementere DORA. Våre kunder synes det kan være utfordrende, men ser at kravene styrker motstandskraften mot IKT-hendelser. Vi mener DORA-loven vil gi et mer stabilt finansmarked i fremtiden.
Klassifisering av kritiske IKT-leverandører
Klassifiseringen av hvem som er kritiske IKT-leverandører vil gjøres av European Security Agency (ESA). En liste over hvem som omfattes vil publiseres årlig. Forordningen fastsetter kriterier for å bli klassifisert som "kritisk IKT-leverandør". Klassifiseringen tar hensyn til faktorer som antallet viktige institusjoner som er avhengig av leverandøren, konsekvensene av driftsavbrudd, og tjenesteleverandørens erstattbarhet. Det er avgjørende for norske virksomheter å forstå klassifiseringen og de spesifikke kravene knyttet til ulike kategorier av IKT-leverandører. Kritiske IKT-leverandører kan få tilsyn én måned etter klassifisering eller tidligere. Tjenesteleverandører som ikke havner på ESAs liste kan søke om å bli klassifisert som “kritisk”. Dette viser at bedriften har en cybersikkerhetsmodenhet, noe som kan gi konkurransefortrinn.
Vi kan hjelpe deg med beste praksis!
Implementering og etterlevelse av DORA kan være komplekst og vil kreve betydelig ekspertise. Vi i PwC har spesialiserte rådgivere som kan støtte ditt arbeid mot å bli DORA compliant. En grundig forståelse av regelverket og tilpasning av interne prosesser og systemer vil være avgjørende for å oppnå tilstrekkelig digital motstandskraft og oppfylle de nødvendige kravene. Med PwCs egenutviklede plattform for modenhetsvurderinger, Connected Risk Engine, sikrer vi at evalueringene til enhver tid gjennomføres i henhold til siste oppdateringer av DORA. I tillegg vil din løsning sammenlignes med beste praksis fra andre lignende virksomheter. Ved å kombinere vår ekspertise med din grundige kjennskap til bedriftens systemer og prosesser legger vi til rette for en smidig implementering av DORA.
– Vår anbefaling er at DORA bør være en utløsende faktor for å starte eller forbedre organisasjonens motstandsdyktighet overfor cyberangrep og andre risikoer.
Vil du vite mer om våre tjenester?
Vi kan hjelpe deg med alt fra DORA, NIS2 til GRC, penetrasjonstesting og tilgangsstyring.
Vi vil gjerne høre fra deg!
Vi hjelper deg gjerne med DORA i din bedrift.
Margrethe Rønning
Direktør | Cyber Trust Advisory, PwC Norway