Lov om digital operationel modstandsdygtighed | DORA-loven

Digital Operational Resilience Act (DORA), der har til formål at forbedre modstandsdygtigheden over for forestående cyberangreb i den finansielle sektor, er et lovforslag, som stadig er under udarbejdelse. Det er vigtigt at bemærke, at denne lov ikke erstatter eksisterende regler, men snarere supplerer dem ved at skabe en ramme for styring af operationelle risici i et digitalt miljø. 

Målet med DORA er at sikre, at finansielle institutioner er i stand til at modstå cyberangreb ved at implementere bedste praksis som databeskyttelse og planlægning af beredskab ved hændelser. Det betyder, at virksomhederne skal have en plan på plads, når et angreb sker, så de kan opretholde driften, mens de kan genoprette skaderne efter et angreb.

Se: Deloitte's nye regler for overholdelse af DORA

Hvad betyder Digital Operational Resilience Act (DORA) for din virksomhed?

Digital Operational Resilience Act (DORA) vil medføre betydelige ændringer i den måde, hvorpå finansielle servicevirksomheder håndterer deres datasikkerhedspraksis. I henhold til DORA skal alle finansielle institutioner implementere et cybersikkerhedsprogram, der omfatter politikker, procedurer og risikostyringsaktiviteter. Disse politikker skal gennemgås årligt af en tredjeparts finanstilsynsmyndighed, som vil give en vurdering af, om de er tilstrækkelige på baggrund af branchestandarder. 

Finansielle institutioner skal også implementere en plan for reaktion på hændelser, der beskriver, hvordan de vil reagere, når der opstår et cyberbrud, eller når der er tegn på, at der kan opstå et sådant i den nærmeste fremtid. Denne plan skal indeholde en strategi for håndtering af forskellige typer angreb (f.eks. phishing-svindel) samt procedurer for genopretning efter et angreb. 

DORA skitserer visse scenarier, hvor det kan finde anvendelse: 

F.eks. er alle organisationer, der arbejder direkte med finansielle institutioner og virksomheder som tjenesteudbydere, underlagt DORA som et krav og vil være underlagt direkte tilsyn af en finansiel tilsynsmyndighed.

Dette vil blive gjort for at fastslå, om leverandørens sikkerhedsprotokoller og -praksis er i overensstemmelse med de af DORA specificerede standarder, og om de er i stand til at skabe et risikofrit miljø til håndtering af følsomme finansielle data.

Organisationer, der ikke arbejder direkte sammen med en finansiel institution, kan frivilligt vælge at overholde DORA-loven ved hjælp af en uafhængig revisor. 

DORA-loven: Hovedbetingelser og mål 

Loven om digital operationel modstandsdygtighed (Digital Operational Resilience Act - DORA) sikrer den finansielle sektors evne til at operere på en sikker og modstandsdygtig måde. Loven har følgende primære krav:

  1. Virksomhederne skal have en plan for reaktion på hændelser, der indeholder en detaljeret beskrivelse af, hvad der udgør et cyberangreb, hvordan medarbejderne skal reagere, og hvordan driften genoprettes, hvis der sker et brud.
  2. Virksomhederne skal opretholde et cybersikkerhedsprogram, der omfatter en vurdering af risiciene ved cyberangreb og en handlingsplan for at mindske disse risici.
  3. Virksomhederne skal opretholde passende sikkerhedskontrol af deres digitale infrastruktur. Disse kontroller omfatter kryptering, autentificering, adgangskontrol, revisionsspor, overvågningssystemer, hændelseshåndteringssystemer og planer for reaktion på hændelser.
  4. Virksomhederne skal indberette hændelser, når de opstår, så tilsynsmyndighederne kan vurdere deres sårbarheder og komme med anbefalinger til at forbedre deres sikkerhedstilstand.
  5. Virksomhederne bør have en plan på plads for at sikre kontinuitet i tjenesten under eventuelle afbrydelser, der måtte opstå.

Et skridt tættere på DORA-overholdelse med PowerDMARC

Organisationer opgraderer deres sikkerhedstilstand på grund af DORA-loven, som kræver digital sikkerhed, netværkssikkerhed, cloudsikkerhed og e-mail-sikkerhed. Da e-mail er grundlaget for nutidens kommunikation og udgør den centrale kommunikationsplatform for de fleste virksomheder, er det afgørende at sikre din e-mailinfrastruktur for at opnå overholdelse af DORA-loven. 

PowerDMARC er en SaaS-platform med flere lejemål, der sikrer dine e-mail-kanaler ved at udnytte en komplet e-mail-godkendelsespakke. Vi er ISO 27001, SOC Type 2 og GDPR-kompatible og har med succes arbejdet med forskellige finansielle organisationer for at beskytte deres e-mail-data og domæne mod sikkerhedsrisici. 

Vi hjælper dig: 

  • Beskyt dine e-mails mod spoofing og efterligning med DMARC
  • Beskyt dig mod cyberaflytning og man-in-the-middle-angreb med MTA-STS
  • Overvåg din e-mails godkendelsesresultater, og find ud af, om der er fejl i forbindelse med kriminaltekniske hændelser med DMARC-rapportering
  • Hold dig under grænsen for SPF-opslag for at undgå permerrors med SPF-affladning

Kontakt os i dag for at opnå overensstemmelse med dine e-mails!