11. mai 2022 nådde EU (EU) foreløpig enighet om den nye Digital Operational Resilience Act (DORA). Til tross for fraseringen, er det ingenting "foreløpig" med DORA. Faktisk er en av verdens mest vidtrekkende cybersikkerhetsreguleringer for finansielle tjenester og deres forsyningskjeder stort sett en fullført avtale.
Alt som gjenstår før formell vedtakelse, som forventes en gang i oktober, involverer først og fremst en håndfull tekniske endringer og oversettelse til de 24 offisielle språkene i EUs medlemsland.
DORA representerer EUs svar på det stadig økende antallet nettangrep mot finansinstitusjoner. Den er utformet for å styrke sikkerheten til finansforetak i EU, som banker, forsikringsselskaper, investeringsselskaper og mer, ved å stille krav til motstandskraft og regulere forsyningskjeden. Men, som jeg bemerket i en tidligere innlegg, prinsippene til DORA strekker seg langt utenfor EU og finanssektoren.
DORAs enhetlige krav til sikkerhet for nettverk og informasjonssystemer omfatter ikke bare virksomheter i finanssektoren, men også kritiske tredjepartsleverandører som leverer informasjons- og kommunikasjonsteknologirelaterte tjenester til finanssektoren, som skyplattformer og dataanalyse.
DORAs rekkevidde strekker seg faktisk til i hovedsak enhver virksomhet som tilbyr informasjons- og kommunikasjonsteknologi (IKT)-tjenester som anses som kritiske for forsyningskjeden som støtter den europeiske finanssektoren – uavhengig av om virksomheten eller tjenesten er basert i EU eller ikke. Faktisk, under DORA, er kompleksiteten i forsyningskjeden eller mangelen på EU-tilstedeværelse begge betraktet som risikofaktorer.
Påbud om nye reguleringsperspektiver
DORA er unik ved at den bringer et nytt og annerledes nivå av regulatorisk gransking til et bredt utvalg av globale virksomheter. DORAs krav Mandat — ikke bare foreslå — overholdelse av bestemmelsene. Like viktig er virkningen av dette nye nivået av regulatorisk kontroll forskjellig avhengig av bedriftens synspunkt.
Finansinstitusjoner som er vant til et regulatorisk miljø primært designet for å vurdere finansiell risiko og stabilitet, vil nå måtte ta den potensielle risikoen som deres IKT-virksomhet utgjør like alvorlig. Finansinstitusjoner er vant til å ta opp risiko i form av kapitalkrav. DORA tar en annen tilnærming ved å stille krav til spesifikk atferd og ytelsesbaserte krav. Fra finansinstitusjoners synspunkt har denne risikoøkningen konsekvenser på tvers av flere aspekter av virksomheten deres, for eksempel hvordan de bruker teknologi og hvordan de transformerer virksomheten sin ved å gå over til nye teknologier som cloud computing. Dette inkluderer overordnede risikostyringsstrategier og -kapasiteter, forsyningskjedesikkerhet og organisasjonsbemanning og retningslinjer for å sikre riktig IKT-risikovurdering og overholdelse.
DORA endrer også reguleringsperspektivet til IKT-organisasjoner. Frem til nå har de primært vært regulert på datarelaterte spørsmål, som personvern og varsling om databrudd, basert på bekymringer om personopplysninger og politiske mål som digital suverenitet. Banebrytende regler, slik som General Data Protection Regulation (GDPR) i Europa, og den nyere California Consumer Privacy Act (CCPA) i USA, kommer til tankene.
IKT-organisasjoner kan også ha andre regulatoriske forpliktelser på sikkerhet, eller ha blitt klassifisert som kritisk infrastruktur, avhengig av hvor de er lokalisert, for eksempel under Direktivet om nettverks- og informasjonssikkerhet (NIS) i Europa, den Cybersecurity Act 2018 i Singapore, eller sektorspesifikk lovverk for spesialiserte bransjer, som telekom i USA.
Nå, hvis IKT-selskaper betjener finansinstitusjoner i EU, vil de mest sannsynlig også være underlagt DORA. Så, i tillegg til deres tidligere regulatoriske rammeverk, vil de IKT-leverandørene som er utpekt til å tilby en kritisk tjeneste, plutselig bli regulert under DORA på en måte som føles som om de blir utvidelser av EUs finansinstitusjoner de betjener. Uansett hvordan man ser på det, er det en dramatisk endring – for både finansinstitusjoner og IKT-leverandører.
Men det er ikke alt. DORA endrer perspektivet for EUs reguleringsetablering. Regulatorer som er eksperter på overholdelse av finansinstitusjoner, må nå utvide omfanget til å omfatte IKT-leverandører som tilbyr kritiske tjenester, som skyleverandører, dataanalysetjenester og andre ikke-finansielle virksomheter. I land med komplekse reguleringsstrukturer vil det også være behov for å samarbeide med andre instanser som har til oppgave å regulere disse tilleggstypene ikke-finansielle næringer.
Å møte utfordringene
DORA krever at EUs finansinstitusjoner vurderer sin egen cybersikkerhet og risikostyringsmodenhet. Forståelse og styring av deres risikoytelse i forsyningskjeden vil være sentralt i denne innsatsen.
Generelt er finansinstitusjoner dyktige på stresstester for å bestemme sikkerhet og finansiell stabilitet. Det er en annen utfordring å utvide den typen tester til andre organisasjoner. Så for EUs finanssektor utgjør det det største puslespillet hvordan man administrerer leverandører, risikostyring og operasjonelle evner i en stadig mer kompleks og utvidet forsyningskjede.
For eksempel kan en finansinstitusjon ha hovedkontor i Europa, men alle sine støtteaktiviteter er outsourcet til virksomheter basert i India. Disse støttetjenestene kan teknisk sett ikke være finansinstitusjoner. Men DORA vil kreve at finansinstitusjonen vurderer om leverandøren er kritisk for sin virksomhet og anvender de relevante DORA-kravene til dette forholdet.
For virksomheter som ikke er basert i EU, er nøkkelspørsmålet jurisdiksjon og markedsadgang. Finansinstitusjoner eller IKT-leverandører som opererer utenfor EU er ikke berørt. Men hvis foretaket er en finansinstitusjon eller IKT-tjenesteleverandør som betjener EUs finanssektor på noen måte, vil den mest sannsynlig være underlagt DORA – direkte eller indirekte.
Nedtelling til 2024
Med mindre noe endres i den endelige teksten, trer DORA i kraft 24 måneder etter den offisielle vedtakelsen. Realistisk sett er det sannsynligvis et sted nær slutten av 2024. Den gode nyheten er at dette gir god tid for organisasjoner til å forberede seg på overholdelse. Det viktigste er at det ikke er for lang tid før inkludering i en typisk bedriftsbudsjettsyklus.
Men før den fristen sniker seg inn på deg, begynn å forberede deg nå. Her er fem nøkkeltrinn:
- Bruk tiden frem til 2024 klokt.
- Forstå hvor du er. Søk, finn og identifiser samsvarshullene dine.
- Bestem hva du trenger for å rette opp hullene dine.
- Utdann og få innkjøp fra toppledelsen.
- Budsjett for 24 måneder.
Klokka tikker.
