Fem nøkkelbetraktninger om Digital Operational Resilience Act (DORA) (Omkar Nisal)

24. september 2020 publiserte EU-kommisjonen det første utkastet forslaget til en Digital Operational Resilience Act (DORA) som en del av Digital Finance Package (DFP). Målet er å veilede finansinstitusjoner gjennom kompleksiteten til krypto
eiendeler, blokkjedeteknologi og digital operasjonell motstandskraft, samt gi råd om en fornyet strategi for detaljhandel. Til tross for fordelene som DORA vil gi, vil det for mange virksomheter være en utfordring å navigere i endringene som kreves.
Her er fem viktige punkter å vurdere når du sikrer overholdelse av loven.

 1.       Hva er DORA, og hvorfor er det viktig?

 Den nye loven vil gi store europeiske finansielle aktører de nødvendige sikkerhetstiltakene for å redusere cyberangrep og andre IKT-relaterte eller IT-baserte risikoer.

 DORA vil snart utgjøre en bindende lov som dekker hvert av EUs medlemsland, og finansinstitusjoner som opererer innenfor dem. Så hvorfor har dette betydning for Storbritannia?

 Selv om Storbritannia ikke lenger er medlem av EU, er Storbritannia fortsatt et av de grunnleggende europeiske finansknutepunktene. Organisasjoner for finanstjenester i Storbritannia som engasjerer seg i det europeiske markedet – privat eller offentlig – som opererer i EU, vil snart måtte overholde disse
forskrifter – noe som gjør DORA til et viktig element i enhver britisk forretningspraksis.

 2.       Den lovgivende vekten til DORA

 Den alvorlige lovgivningsmessige tyngden som denne nye europeiske loven bærer er en annen viktig grunn til at britiske finansorganisasjoner bør begynne å tenke på samsvar. Hvert europeiske lands finansmyndighet vil ta rollen som overholdelse
overvåke og håndheve forskriften etter behov. Omfattende bøter vil bli gitt for de institusjonene som ikke overholder det nye regelverket, noe som fører til et hull i fortjenesten og potensiell skade på omdømmet.

 Dette betyr betydelige straffer kan ilegges av hovedtilsynsmannen for manglende overholdelse. Disse betydelige bøtene vil ha form av en tvangsmulkt på 1 % av den gjennomsnittlige daglige globale omsetningen til organisasjonen i den foregående virksomheten
år. Dette vil bli brukt av hovedtilsynsmannen daglig inntil overholdelse er oppnådd i ikke mer enn en periode på seks måneder.

 3.       Forstå din sårbarhetstilstand

 Når det gjelder cyberrisiko og motstandskraft, er det ganske enkelt ikke nok å ha "cyberforsikring" alene – konstant informasjon om risikotilstanden er også viktig. Den allestedsnærværende teknologien i dagens virksomheters aktiviteter, og dens tilkobling, strekker seg over standarden
fysiske teknologiske ressurser som sitter på tvers av den daglige driften: fra IKT, minibanker, bærbare datamaskiner, konferanseromskameraer, til alle de virtuelle domenene i skyen, on premiss, AI og kvanteinnovasjoner.

 Loven hjelper interessenter og beslutningstakere med å bygge en dypere forståelse av den interne tilstanden til risiko og sårbarhet som deres selskaper lider. I sin nyeste

Business of Resilience-rapport, bekreftet den britiske regjeringen at gapet i forsikringsbeskyttelse fortsatt er høyt når det gjelder cyber – "90 % av alle cybertap forblir uforsikret".

 DORA vil hjelpe britiske finansinstitusjoner med å overvinne den bredere utfordringen med å gi interessenter og ansvarlige beslutningstakere rett synlighet på de kritiske eiendelene og eiendelene, som definerer påliteligheten og effektiviteten til
deres tjenester.

 4.       Hva faller inn under lovens virkeområde?

 Når loven er ferdigstilt, vil den gjelde for et bredt spekter av finansielle enheter, herunder kredittinstitusjoner, elektroniske pengeinstitusjoner, verdipapirforetak, forsikringsforetak og gjenforsikringsforetak. Men det er ikke bare finansinstitusjoner
som er berørt. Under DORA vil "kritiske IKT-tredjepartsleverandører" (CTPP), inkludert skytjenesteleverandører (CSP), falle innenfor den regulatoriske perimeteren til EU-omfattende standarder for digital operasjonell motstandsdyktighetstesting.

 Et annet element av nyhet er standardisering av retningslinjer for IKT-risikostyring, hendelsesklassifisering og rapportering på tvers av sektorer for finansielle tjenester. Harmonisering på tvers av disse kritiske eiendelene åpner døren for at finansielle enheter kan etablere seg
innenfor de sikre grensene til et enhetlig EU-knutepunkt mot cybertrusler.

 Alle britiske enheter som opererer innenfor det europeiske finansmarkedet, må overholde loven som et grunnleggende privilegium for å hevde synlighet i markedet og som et middel til legitimitet for å starte partnerskap innenfor det.

 5.       Spesialverktøy som kan hjelpe deg med å få på plass en DORA-plan

 Noen organisasjoner bruker fortsatt manuelle prosesser og regneark for å fange opp, administrere og rapportere bedriftens overholdelse, risikostyring og regulatoriske endringer på tvers av virksomheten. Disse statiske regnearkene faller raskt fra hverandre når det gjelder administrasjon og sporing
all den komplekse styrings-, risiko- og overholdelsesinnsatsen i en organisasjon.

 Institusjoner må sikre en streng overholdelse av DORA, og kan derfor kreve tilstrekkelig assistanse fra spesialiserte IT-verktøy som kan støtte i å finne, dokumentere, administrere og klassifisere eiendeler mens de evaluerer risikonivåer for eiendeler som faller innenfor
omfang.

 Spesialiserte sikkerhetsplattformer kan være den mest kostnadseffektive løsningen for å takle disse problemene mens de overholder det utviklende økonomiske landskapet. Disse spesialistplattformene hjelper til med å identifisere nye typer endepunkter (som konferanseromskameraer)
og kan grensesnitt med eksisterende verktøy, der de finnes, for å gi et nøyaktig aktivaregister. Hovedmålet med disse plattformene er å sømløst redusere alle blindsoner for operasjonell motstandskraft og beskytte arbeidsstyrken i møte med uønskede operasjonelle hendelser
ved å forutse, forhindre og tilpasse seg slike hendelser.

 I konklusjonen

 Så for å oppsummere må finansinstitusjoner sikre at de overholder DORA, ellers risikerer de ikke ubetydelige tvangsmulkter. For å bli kompatible, må organisasjoner identifisere alle eiendelene som for øyeblikket finnes
en risiko for nøkkelprosesser. Deretter må organisasjoner forstå risikonivået som hver eiendel presenterer for å sikre at reduksjoner vurderes. Det finnes spesialverktøy på markedet som kan hjelpe organisasjoner med å finne, dokumentere, administrere og klassifisere
sine eiendeler. Snakk med en IT-spesialist for å se hvordan de kan hjelpe organisasjonen din med alt dette.