Lov om digital operativ motstandskraft | DORA-loven

Med sikte på å forbedre motstandskraften mot forestående cyberangrep i finanssektoren, er Digital Operational Resilience Act (DORA) et lovforslag som fortsatt er under arbeid. Det er viktig å merke seg at denne loven ikke erstatter eksisterende regelverk, men snarere supplerer dem ved å gi et rammeverk for å håndtere operasjonell risiko i et digitalt miljø. 

Målet til DORA er å sikre at finansinstitusjoner er i stand til å motstå cyberangrep ved å implementere beste praksis som databeskyttelse og planlegging av hendelser. Dette betyr at bedrifter må ha en plan på plass for når et angrep skjer, slik at de kan opprettholde driften mens de kommer seg etter eventuelle skader forårsaket av et angrep.

Se: Deloittes nye regler for DORA-samsvar

Hva betyr Digital Operational Resilience Act (DORA) for din virksomhet?

Digital Operational Resilience Act (DORA) vil gjøre betydelige endringer i hvordan finansielle tjenesteselskaper håndterer sin datasikkerhetspraksis. Under DORA må alle finansinstitusjoner implementere et cybersikkerhetsprogram som inkluderer retningslinjer, prosedyrer og risikostyringsaktiviteter. Disse retningslinjene må gjennomgås årlig av en tredjeparts finanstilsynsmyndighet som vil gi en vurdering av hvorvidt de er tilstrekkelige basert på industristandarder. 

Finansinstitusjoner må også implementere en hendelsesplan som beskriver hvordan de vil reagere når et cyberbrudd inntreffer eller når det er indikasjoner på at det kan inntreffe i nær fremtid. Denne planen må inneholde en strategi for å håndtere ulike typer angrep (f.eks. phishing-svindel), samt prosedyrer for å komme seg etter et angrep. 

DORA skisserer visse scenarier der det kan være aktuelt: 

For eksempel er alle organisasjoner som jobber direkte med finansinstitusjoner og selskaper som tjenesteleverandører, underlagt DORA som en tvang og vil bli direkte overvåket av en finansiell tilsynsmyndighet.

Dette vil bli gjort for å avgjøre om leverandørens sikkerhetsprotokoller og praksis er i samsvar med DORA-spesifiserte standarder og om de er i stand til å gi et risikofritt miljø for håndtering av sensitive økonomiske data.

Organisasjoner som ikke jobber direkte med noen finansinstitusjon, kan frivillig velge å oppnå samsvar under DORA-loven via en uavhengig revisor. 

DORA-loven: Hovedbetingelser og mål 

Lov om digital operativ motstandskraft (DORA) sikrer finanssektorens evne til å drive på en sikker og robust måte. Loven har følgende hovedkrav:

  1. Bedrifter må ha en hendelsesplan som inkluderer en detaljert beskrivelse av hva som utgjør et nettangrep, hvordan ansatte skal reagere og hvordan driften vil bli gjenopprettet dersom det er et brudd.
  2. Bedrifter må opprettholde et cybersikkerhetsprogram som inkluderer en vurdering av risikoene som utgjøres av cyberangrep og en handlingsplan for å redusere disse risikoene.
  3. Bedrifter må opprettholde passende sikkerhetskontroller over sin digitale infrastruktur. Disse kontrollene inkluderer kryptering, autentisering, tilgangskontroller, revisjonsspor, overvåkingssystemer, hendelsesstyringssystemer og hendelsesresponsplaner.
  4. Bedrifter må rapportere hendelser når de oppstår slik at regulatorer kan vurdere sårbarhetene deres og komme med anbefalinger for å forbedre deres sikkerhetsstilling.
  5. Bedrifter bør ha en plan på plass for å sikre kontinuitet i tjenesten under eventuelle forstyrrelser som kan oppstå.

Gå nærmere DORA-samsvar med PowerDMARC

Organisasjoner oppskalerer sikkerhetsstillingen sin på grunn av DORA-loven, som krever digital, nettverks- og skysikkerhet, samt e-postsikkerhet. Siden e-post er grunnlaget for dagens kommunikasjon og utgjør den sentrale kommunikasjonsplattformen for de fleste virksomheter, er sikring av e-postinfrastrukturen avgjørende for å oppnå DORA-samsvar. 

PowerDMARC er en SaaS-plattform med flere leietakere som sikrer e-postkanalene dine ved å utnytte en fullstack-pakke for e-postautentisering. Vi er ISO 27001, SOC Type 2 og GDPR-kompatible, og har jobbet med ulike finansielle organisasjoner for å beskytte deres e-postdata og domene mot sikkerhetsrisikoer. 

Vi hjelper deg: 

  • Beskytt e-postene dine mot forfalskning og etterligning med DMARC
  • Forsvar deg mot cyberavlytting og man-in-the-midten-angrep med MTA-STS
  • Overvåk e-postens autentiseringsresultater og feilsøk rettsmedisinske hendelser med DMARC-rapportering 
  • Hold deg under SPF-oppslagsgrensen for å unngå Permerrors med SPF-utflatning

Kontakt oss i dag for å oppnå samsvar med e-postene dine!