Den 11. maj 2022 nåede Den Europæiske Union (EU) til en foreløbig aftale om den nye Digital Operational Resilience Act (DORA). På trods af fraseringen er der intet "foreløbigt" ved DORA. Faktisk er en af verdens mest vidtrækkende regler for cybersikkerhed for finansielle tjenester og deres forsyningskæder for det meste en færdig aftale.
Alt, hvad der er tilbage forud for den formelle vedtagelse, der forventes engang i oktober, involverer primært en håndfuld tekniske ændringer og oversættelse til de 24 officielle sprog i EU's medlemslande.
DORA repræsenterer EU's svar på det stadigt stigende antal cyberangreb mod finansielle institutioner. Det er designet til at styrke sikkerheden for finansielle virksomheder i EU, såsom banker, forsikringsselskaber, investeringsselskaber og mere, ved at pålægge modstandsdygtighedskrav og regulere forsyningskæden. Men, som jeg bemærkede i en tidligere indlægDORAs principper strækker sig langt ud over EU og dets finansielle sektor.
DORAs ensartede krav til sikkerheden af netværk og informationssystemer omfatter ikke kun virksomheder i den finansielle sektor, men også kritiske tredjepartsleverandører, der leverer informations- og kommunikationsteknologi-relaterede tjenester til den finansielle sektor, såsom cloud-platforme og dataanalyse.
DORAs rækkevidde strækker sig faktisk til stort set enhver virksomhed, der tilbyder informations- og kommunikationsteknologi (IKT)-tjenester, der anses for at være kritiske for den forsyningskæde, der understøtter den europæiske finansielle sektor - uanset om den pågældende virksomhed eller tjeneste er baseret i EU eller ej. Faktisk betragtes kompleksiteten af forsyningskæden eller manglen på EU-tilstedeværelse under DORA som risikofaktorer.
Påbud om nye reguleringsperspektiver
DORA er unik ved, at den bringer et nyt og anderledes niveau af regulatorisk kontrol til en bred vifte af globale virksomheder. DORAs krav Mandat — ikke blot foreslå — overholdelse af dens bestemmelser. Lige så vigtigt er virkningen af dette nye niveau af lovgivningsmæssig kontrol forskellig afhængigt af virksomhedens synspunkt.
Finansielle institutioner, der er vant til et reguleringsmiljø, der primært er designet til at vurdere finansiel risiko og stabilitet, bliver nu nødt til at tage den potentielle risiko, som deres IKT-drift udgør, lige så alvorligt. Finansielle institutioner er vant til at håndtere risiko i form af kapitalkrav. DORA har en anderledes tilgang ved at pålægge specifikke adfærds- og præstationsbaserede krav. Fra finansielle institutioners synspunkt har denne risikostigning konsekvenser på tværs af flere aspekter af deres forretning, såsom hvordan de forbruger teknologi, og hvordan de transformerer deres forretning ved at gå over til nye teknologier som cloud computing. Dette omfatter overordnede risikostyringsstrategier og -kapaciteter, forsyningskædesikkerhed og organisatorisk bemanding og politikker til sikring af korrekt IKT-risikovurdering og overholdelse.
DORA ændrer også IKT-organisationernes reguleringsperspektiv. Indtil nu har de primært været reguleret på datarelaterede spørgsmål, såsom databeskyttelse og underretning om databrud, baseret på bekymringer om personlige data og politiske mål som digital suverænitet. Banebrydende regler, såsom General Data Protection Regulation (GDPR) i Europa, og den nyere California Consumer Privacy Act (CCPA) i USA, kommer til at tænke på.
IKT-organisationer kan også have andre lovgivningsmæssige forpligtelser med hensyn til sikkerhed eller være blevet klassificeret som kritisk infrastruktur, afhængigt af hvor de er placeret, f.eks. Direktivet om netværks- og informationssikkerhed (NIS) i Europa, den Cybersikkerhedsloven 2018 i Singapore, eller sektorspecifik lovgivning til specialiserede industrier, såsom telekommunikation i USA.
Nu, hvis ikt-virksomheder servicerer finansielle institutioner i EU, vil de højst sandsynligt også være underlagt DORA. Så ud over deres tidligere lovgivningsmæssige rammer vil de ikt-udbydere, der er udpeget til at tilbyde en kritisk service, pludselig blive reguleret under DORA på en måde, der i høj grad føles, som om de er ved at blive udvidelser af EU's finansielle institutioner, de servicerer. Uanset hvordan man ser på det, er det en dramatisk ændring - for både finansielle institutioner og IKT-udbydere.
Men det er ikke alt. DORA ændrer perspektivet for EU's regulatoriske etablering. Regulatorer, der er eksperter i overholdelse af finansielle institutioner, skal nu udvide deres anvendelsesområde til at omfatte ikt-udbydere, der tilbyder kritiske tjenester, såsom cloud-udbydere, dataanalysetjenester og andre ikke-finansielle virksomheder. I lande med komplekse reguleringsstrukturer vil der også være behov for at samarbejde med andre organer, der har til opgave at regulere disse yderligere typer ikke-finansielle industrier.
At møde udfordringerne
DORA kræver, at EU-finansielle institutioner vurderer deres egen cybersikkerhed og risikostyringsmodenhed. Forståelse og styring af deres forsyningskæderisikopræstation vil være central for denne indsats.
Generelt er finansielle institutioner dygtige til stresstest til at bestemme sikkerhed og finansiel stabilitet. Det er en anden udfordring at udvide den slags tests til andre organisationer. Så for EU's finansielle sektor udgør det det største puslespil, hvordan man administrerer leverandører, risikostyring og operationelle kapaciteter i en stadig mere kompleks og udvidet forsyningskæde.
For eksempel kan en finansiel institution have hovedkontor i Europa, men have alle sine støtteaktiviteter outsourcet til virksomheder baseret i Indien. Disse supporttjenester er muligvis ikke teknisk set finansielle institutioner. Men DORA vil kræve, at den finansielle institution vurderer, om sælgeren er kritisk for dens drift, og anvender de relevante DORA-krav til dette forhold.
For virksomheder, der ikke er baseret i EU, er det centrale spørgsmål om jurisdiktion og markedsadgang. Finansielle institutioner eller ikt-udbydere, der opererer uden for EU, er ikke berørt. Men hvis virksomheden er en finansiel institution eller IKT-tjenesteudbyder, der på nogen måde servicerer EU's finanssektor, vil den højst sandsynligt være underlagt DORA - direkte eller indirekte.
Nedtælling til 2024
Medmindre noget ændres i den endelige tekst, træder DORA i kraft 24 måneder efter dens officielle vedtagelse. Realistisk set vil det sandsynligvis være et sted tæt på slutningen af 2024. Den gode nyhed er, at dette giver organisationer masser af tid til at forberede sig på overholdelse. Vigtigst er det, at det ikke er for lang tid til at blive inkluderet i en typisk virksomhedsbudgetcyklus.
Men før den deadline sniger sig ind på dig, skal du begynde at forberede dig nu. Her er fem vigtige trin:
- Brug tiden frem til 2024 fornuftigt.
- Forstå, hvor du er. Søg, find og identificer dine overholdelseshuller.
- Bestem, hvad du skal bruge for at udbedre dine huller.
- Uddan og få buy-in fra den øverste ledelse.
- Budget for de 24 måneder.
Uret tikker.
