Det betyr at én enkelt hendelse hos én tjenesteleverandør kan få konsekvenser for store deler av finansmarkedet, og dermed true den økonomiske stabiliteten i Europa. Dette tilsier at det er behov fra lovgivers hold for å styrke robustheten i dette markedet – et behov som snart vil kunne innfris gjennom implementeringen av Digital Operational Resilience Act (DORA).

I dette nyhetsbrevet tar vi for oss innholdet i DORA, implementeringen i EU og Norge, og hvilke tiltak påvirkede norske virksomheter allerede nå bør begynne å forberede for å sikre etterlevelse.

EU-kommisjonens forslag til Digital Operational Resilience Act (DORA), er en del av EU-kommisjonens tiltakspakke for digitale sikkerhetstjenester innen finanssektoren. Forordningen ble vedtatt i desember 2022.

I EU trådte regelverket i kraft 16. Januar 2023. Omfattede virksomheter ble gitt en 24-måneders overgangsperiode for implementering og regelverket vil gjelde for omfattede finansforetak som opererer i EU-land fra 17. januar 2025. Det er usikkert om regelverket rekker å bli behandlet i Norge innen den tid. Finansdepartementet sendte i januar 2024 på høring et forslag til norsk implementering av forordningen, med frist for kommentarer 3. april 2024. Regelverket antas å være EØS-relevant og norske virksomheter bør allerede nå begynne forberedelser til etterlevelse av DORA når det trer i kraft i Norge.

DORA er et sektorspesifikt regelverk for finanssektoren som skal sikre at det finansielle markedet som helhet har nødvendige tiltak på plass for å forhindre cyberangrep. DORA stiller strengere og harmoniserte krav til finansforetak i EU, samt til deres leverandører innenfor informasjons- og kommunikasjonsteknologi (IKT). Manglende etterlevelse av regelverket kan bli kostbart og kan føre til både administrative gebyrer og tilbakekallelse av konsesjon. Etterlevelse av kravene i DORA krever stor tverrfaglig kompetanse innenfor blant annet teknologi, cybersecurity og juss.

Det er foreslått at i Norge skal Finanstilsynet være tilsynsorgan for overholdelse av DORA. Dette vil imidlertid kunne revurderes i lys av gjennomføringen av NIS1- og NIS2-regelverkene (generelle regler om motstandsdyktighet i nettverks- og informasjonssystemer hos private og offentlige samfunnskritiske aktører) avhengig av om tilsynsmyndigheten for digitalsikkerhetsloven (som gjennomfører NIS1-direktivet i norsk rett) vil legges til eksisterende sektormyndighet eller til en felles myndighet. Departementet har imidlertid foreslått at tilsynsmyndigheten skal legges til eksisterende sektormyndighet slik at Mattilsynet vil ha tilsynsansvar for tilsyn for f.eks. tilbydere av vannforsyningstjenester osv. Det taler for at tilsynsmyndighet for DORA trolig vil være Finanstilsynet.

DORA vil gjelde for 21 kategorier av finansielle virksomheter, herunder banker og kredittinstitusjoner, betalingsforetak, investeringsselskap, verdipapirhandelsforetak, forvaltningsselskaper, pensjonsfond, forsikringsselskap, revisjonsselskap, tilbydere av kryptvaluta og inkassobyråer. Dette vil omfatte alle finansielle virksomheter som i dag er underlagt Forskrift om IKT-systemer i banker mv (“IKT-forskriften”), men også ytterligere finansielle virksomheter. DORA vil også gjelde for et bredere og mer spesifikt spekter av finansielle og relaterte enheter, inkludert de som er involvert med krypto-eiendeler, kritisk finansiell infrastruktur, og spesifikke typer finanstjenesteleverandører.

Også IKT-leverandører som leverer tjenester for driftskritiske funksjoner til finansielle virksomheter vil være underlagt DORA. Det betyr at IKT-leverandører som tidlig kan vise til at de oppfyller kravene i DORA vil kunne få en markedsfordel.

Det stilles andre krav til «mikroforetak», som er finansforetak med færre enn 10 ansatte og som har en omsetning under 2 millioner euro. Det betyr at de enkelte finansforetakene må vurdere både om hvordan DORA vil gjelde for dem og hvordan kravene i DORA skal implementeres i praksis.

Hvordan vil DORA påvirke norske finansforetak?

Alle finansforetak som opererer i EU-land vil være omfattet av DORA. Dette gjelder også for norske finansforetak som opererer både i Norge og i EU. Mange foretak har i dag implementert standarder som ISO 27001 (standard for ledelsessystemer innen informasjonssikkerhet). ISO 27001 dekker ulike områder som er relevante for etterlevelse av DORA, inkludert kravene til risikovurdering, hendelsesvarsling, forretningskontinuitet og operasjonell robusthet. Men virksomheter som har implementert ISO 27001 vil ikke automatisk være DORA-compliant. For eksempel er ikke ISO 27001 like tydelig på kravet til penetration testing, som er en av pilarene i DORA-regelverket.

DORA stiller krav til finansforetak i hele det indre marked. For å oppfylle DORA må foretak etablere solide rammeverk for styring av IKT-risiko og rutiner for rapportering av IKT-hendelser, de må sørge for regelmessig testing av IKT-systemenes robusthet og motstandsdyktighet, håndtering av IKT-risiko knyttet til tredjeparter, samt gjennomføre informasjonsdeling i tråd med konkurranse- og personvernlovgivningen. DORA stiller også krav til at alle finansforetak ha grundig dokumentasjon over rammeverket for IKT-risiko, og også dokumentere jevnlig (minst årlig) en gjennomgang av rammeverket.

Hvilke krav stiller DORA til bruk av IKT-leverandører?

Mens IKT-forskriften § 12 i dag kun stiller krav til at finansforetak har ansvar for at leverandører oppfyller alle kravene i IKT-forskriften ved utkontraktering, går DORA lengre hva gjelder detaljering i hvilke krav som stilles til IKT-leverandører.

menes alle IKT-leverandører som finansforetak direkte eller indirekte benytter seg av og som har en kritisk og avgjørende betydning for finansforetakets kritiske prosesser.

IKT-leverandører som etter DORA vurderes som kritiske vil være underlagt Oversight Framework i DORA kapittel V section II, som er et omfattende rammeverk som regulerer effektiv kontroll over slike leverandører. Det betyr at også skyleverandører og tilbydere av annen kritiske tjenester til finansforetak vil kunne bli pålagt strenge krav og tilsyn.

For de ukritiske leverandørene vil DORA få en indirekte betydning ved at det må inkorporeres ytterligere vilkår i avtalen mellom finansforetaket og IKT-leverandøren. Dette vil være vilkår knyttet til bl.a. varsling av sikkerhetsbrudd og revisjonsadgang. DORA art. 27 oppstiller hvilke krav som stilles til innhold i avtalen.

DORA er inndelt i fem overordnede områder (pilarer) som sammen skal sørge for operasjonell motstandsdyktighet og ansvarlig digitalisering:

1. IKT-risikostyring og ansvarsplassering

 oppstiller DORA krav til spesifikke funksjoner innen IKT-risikostyring. Disse kravene er knyttet til identifisering, beskyttelse og forebygging, deteksjon og gjenoppretting, læring og utvikling, og kommunikasjon. DORA krever videre at virksomhetens ledelsesorgan tar 

 for håndtering av IKT-risikoer. Dette innebærer bl.a. ledelsens godkjenning av firmaets strategi for bruk av IKT-leverandører, samt en overordnet strategi for den operasjonelle motstandsdyktigheten i foretaket.

DORA pålegger finansforetak å rapportere alvorlige IKT-relaterte hendelser til tilsynsmyndighetene. Det legges også opp til at berørte brukere skal informeres. Lignende rapporteringsforpliktelser finner vi også i bl.a. CRA (Cyber Resilience Act), GDPR (General Data Protection Regulation) og NIS-direktivene (Network and Informations Systems Directives 1 og 2). DORAs rammeverk for hendelsesrapportering vil potensielt kunne bidra til å øke finansforetakenes evne til å analysere, klassifisere og rapportere IKT-hendelser og trusler.

3. Digital operasjonell stabilitetstesting

DORA stiller krav til at finansforetaket minst årlig gjennomfører sikkerhetstester og tester for motstandsdyktighet i sine systemer. For de finansforetakene som anses særlig viktige pålegger DORA i tillegg at det gjennomføres avanserte simuleringer av cyberangrep minst hvert tredje år. Testene skal gjennomføres av sertifisert personell som har dokumentert tilstrekkelig kompetanse for å gjennomføre slike tester. Alle potensielle sårbarheter som avdekkes gjennom testingen skal adresseres og dokumenteres.

4. Risiko fra kritiske tredjeparts IKT-leverandører

Alle IKT-leverandører skal som en integrert del av finansforetakets IKT-risikostyring overvåkes og risikovurderes. Finansforetakets strategi for bruk av IKT-leverandører skal vurderes jevnlig og en klar exit-strategi må være på plass for alle IKT-leverandører. I tillegg må alle krav til avtaler som stilles etter DORA art. 27 og Oversight Framework være oppfylt.

Med formål om økt informasjonsdeling mellom finansforetakene i EU, oppstiller DORA krav knyttet til informasjonsdeling. Målet er å sørge for at finansforetakene deler informasjon og etterretning innenfor cybersikkerhet og potensielle trusler og dermed styrker den totale motstandsdyktigheten i EUs finansmarked som helhet. DORA krever derfor at finansforetak og tilsynsmyndigheter i enda større grad må samarbeide på tvers av landegrensene.

Hvordan bør IKT-leverandører som leverer tjenester til finansforetak som opererer i EU, og fremtidige omfattede norske finansforetak forberede seg?

Alle finansforetak som opererer i EU-land vil være omfattet av DORA og har frem til 16. januar 2025 på å innrette seg etter de nye kravene. Dette gjelder også for norske finansforetak som operer i EU-land. Dette innebærer å:

Fastsette og avklare ansvar for implementeringen av DORA

Påstarte overordnet strategiarbeid i ledelsen

Få oversikt over foretakets modenhet ved å gjennomføre en GAP-analyse (readiness assessment)

Gjøre nødvendige oppdateringer i foretakets internkontrollprosesser og rutiner

Identifisere og dokumentere kritiske leverandører, systemer og prosesser.

Gjennomgå avtaleverk slik at de overholder kravene i DORA art. 27

For norske IKT-leverandører som leverer tjenester til finansforetak i EU vil det være viktig å kunne påvise at de er DORA-compliant i markedet. Slike IKT-leverandører bør derfor allerede nå begynne å:

Kartlegge om, og i hvor stor grad, kravene i DORA vil gjelde for dem

Vurdere om man er å anse som en kritisk IKT-leverandør

Implementere nødvendige tiltak som vil kreves av dem som IKT-leverandør

Forberede seg på en grundig gjennomgang og revidering av eksisterende avtaleverk med kunder

På grunn av kravenes kompleksitet og omfang anbefales det at også at andre norske finansforetak som senere vil bli omfattet av DORA gjennom implementering i norsk lov, og IKT-leverandører som leverer tjenester til disse, allerede nå begynner tilsvarende forberedelser.

EUs Digital Operational Resilience Act: Et stort steg i riktig retning mot økt cybersikkerhet og markedsstabilitet i EUs finanssektor

Regjerningen la den 5. mai 2023 frem et forslag til lov om digital sikkerhet (Digitalsikkerhetsloven) som vil tre i kraft i løpet av 2024. Justis- og beredskapskomiteen kom den 21. november 2023 med Innst. 78 L 2023-2024 til den nye digitalsikkerhetsloven som vil behandles i Stortinget 5. desember 2023.

Loven skal styrke den digitale sikkerheten i samfunnet og følger opp EU-direktivet om sikkerhet i nettverks- og informasjonssystemer (NIS1-direktivet). Loven har som formål å bidra til å sikre grunnleggende krav til digital sikkerhet i virksomheter med særlig samfunnsmessig betydning gjennom å stille strengere krav til kontroll på sikkerhetsarbeidet, og pålegger virksomheter å varsle ved uønskede hendelser i nettverks- og informasjonssystemer som brukes for å levere samfunnsviktige tjenester og digitale tjenester.

Digitalsikkerhetsloven vil i første omgang gjelde for samfunnskritiske sektorer som energi, transport, helse, vannforsyning, bank, finansmarkeder, og digital infrastruktur, samt for digitale tjenesteleverandører som digitale markedsplasser, skytjenester og søkemotorer. Men, i årene som kommer, vil Norge trolig også gradvis måtte implementere NIS1’s etterkommer, NIS2-direktivet, i Digitalsikkerhetsloven, noe som vil medføre at lovens virkeområde utvides til også å omfatte bl.a. offentlige myndigheter, utdanningsinstitusjoner, matproduksjon, post- og pakkedistributører, avfallshåndtering og produksjon av visse varer (medisinsk utstyr, IKT-utstyr, kjøretøy, elektronikk, maskiner og transportutstyr).

EU har satt frist for implementering av NIS2 for europeiske virksomheter til oktober 2024. For norske virksomheter som skal tilby tjenester i Europa vil det altså også stilles krav om at virksomheter må sikre etterlevelse av NIS2.

KRAV TIL RISIKOVURDERINGER OG ØKT MONITORERING

I henhold til NIS1-direktivets artikkel 16 (1) er virksomheter som omfattes av loven pålagt å gjennomføre grundige risikovurderinger for å identifisere og treffe hensiktsmessige og rimelige tekniske og organisatoriske tiltak.I tråd med den tekniske utviklingen skal tiltakene sikre et nivå for sikkerhet i virksomheten som står i forhold til risikoen, idet det tas hensyn til bl.a. sikkerheten i systemer og anlegg, styring av driftskontinuitet, overvåkning, revisjon og testing, samt hendelseshåndtering. Ovennevnte vurderinger og iverksettelse av tiltak må kunne dokumenteres for å påvise etterlevelse.

OBLIGATORISKE VARSLINGSFORPLIKTELSER OM HENVDELSER

Nytt med digitalsikkerhetsloven og NIS1-direktivet er at det blir obligatorisk å varsle om hendelser som

leveringen av en tjeneste. Dette gjelder både for operatører av essensielle tjenester og leverandører av digitale tjenester. Direktivet definerer "hendelse" som enhver begivenhet som har en reell negativ virkning på sikkerheten i nettverks- og informasjonssystemer. Dette innebærer at en helhetsvurdering må gjennomføres for å avgjøre om virkningen av en begivenhet er negativ og videre om den negative virkningen er å anse som "betydelig". Faktorer som antall berørte brukere, hendelsens varighet, geografisk omfang og økonomiske og samfunnsmessige konsekvenser vurderes. Varslingsplikten gjelder bare når virksomheten har tilstrekkelig informasjon til å vurdere hendelsens betydning. Dersom det vurderes at varslingsforpliktelsen er utløst må varselet gis "uten unødig opphold". Dette betyr at varsling skal skje så snart som praktisk mulig, uten unødvendige forsinkelser.

HVA BETYR INNFØRINGEN AV DIGITALSIKKERHETSLOVEN I PRAKSIS FOR OMFATTEDE VIRKSOMHETER?

Det er avgjørende for etterlevelse av regelverket at virksomheten gjennomfører jevnlige risikovurderinger for å identifisere potensielle trusler og sårbarheter i tjenestene som tilbys, og iverksette tiltak for å redusere risikoen. Virksomheter bør implementere sterke sikkerhetstiltak som to-faktorautentisering, sterk kryptering, samt få på plass et IAM-system (Identity Access Management), for å beskytte kunders data mot uautorisert tilgang. Her er etterfølgelse av Nasjonal Sikkerhetsmyndighet (NSM) sine grunnprinsipper for IKT-sikkerhet en fin plass å starte. NSM er også i departementets proposisjon utpekt som kandidat for nasjonalt kontaktpunkt for tilsynsmyndigheter under regelverket. Regelverket krever også tett samarbeid med NSM og andre sektorspesifikke tilsynsorgan, inkludert virksomhetsinterne Computer Security Incident Response Teams (CSIRTs), for å sikre en effektiv respons på sikkerhetsbrudd.

Overholdelse av krav i digitalsikkerhetsloven innebærer at virksomheter bør etablere tydelige interne retningslinjer og prosedyrer for å håndtere sikkerhetsbrudd i samsvar med lovens krav. Videre bør virksomheten implementere tiltak knyttet til sikkerhetsovervåkning og hendelseshåndteringssystemer for å oppdage, rapportere og reagere på sikkerhetsbrudd raskt.

I korte trekk skal digitalsikkerhetsloven sørge for en betydelig forbedring av digital sikkerhet i norske samfunnskritiske virksomheter gjennom implementering av NIS1-direktivet. Omfattede virksomheter blir nå pålagt å etablere robuste interne prosesser, gjennomføre grundige og hyppige risikovurderinger, varsle om sikkerhetshendelser og samarbeide tettere med nasjonale myndigheter.

I EU er NIS1 allerede erstattet av NIS2, og europeiske virksomheter har for alvor fått en felles målsetning for digital sikkerhet og økt samarbeid i det indre markedet. Det er derfor viktig at også norske virksomheter har økt fokus på digital sikkerhet i årene som kommer.

Dette bør du vite om digitalsikkerhetsloven som trer i kraft i 2024 

Trine er en del av faggruppen for Teknologi og innovasjon, hvor hun jobber med spørsmål knyttet til personvern og informasjonssikkerhet. Trine har tidligere jobbet som jurist og personvernombud for AtB hvor arbeidet bestod av generell compliance av personvern. Trine har også jobbet som personvernombud for alle Norges domstoler, inkludert Domstoladministrasjonen, tilsynsutvalget for dommere, innstillingsrådet for dommere og Finnmarkskommisjonen. Trine har i sitt arbeid jobbet tett på IT, CISO og informasjonssikkerhetsrådgivere og har opparbeidet seg god teknisk kompetanse som utfyller det juridiske. 

Nylig har hun tatt to enkeltemner på Norges teknisk-naturvitenskapelige universitet (NTNU) hvor hun har skrevet om bruk av AI innenfor Cybersecurity og sikkerhet i sky, herunder viktigheten av en robust Skystrategi for virksomheter når de tar steget over i sky.

På studiet tok Trine spesialfag innenfor cybersecurity og i sin masteroppgave analyserte hun lovpålagte varslingsforpliktelser ved cybersikkerhetsbrudd i henholdsvis GDPR og NIS-direktivet.

Kontaktinformasjon

+47 454 27 053

trh@adeb.no

+47 23 89 40 00

Trine Hammervold

Aktuelt

EUs Digital Operational Resilience Act: Et stort steg i riktig retning mot økt cybersikkerhet og markedsstabilitet i EUs finanssektor

Dette bør du vite om digitalsikkerhetsloven som trer i kraft i 2024

Nyhetsbrev