Digital Operational Resilience Act (DORA) är ett lagförslag som syftar till att förbättra motståndskraften mot hotande cyberattacker inom finanssektorn och som fortfarande är under utarbetande. Det är viktigt att notera att denna lag inte ersätter befintliga bestämmelser utan snarare kompletterar dem genom att tillhandahålla en ram för hantering av operativa risker i en digital miljö. 

Målet med DORA är att se till att finansinstitut kan motstå cyberattacker genom att tillämpa bästa praxis, t.ex. dataskydd och incidenthanteringsplanering. Detta innebär att företagen måste ha en plan för när en attack inträffar så att de kan upprätthålla verksamheten samtidigt som de återhämtar sig från eventuella skador som orsakats av en attack.

Visa: Deloittes nya regler för efterlevnad av DORA

Vad innebär lagen om digital operativ motståndskraft (Digital Operational Resilience Act, DORA) för ditt företag?

DORA-lagen (Digital Operational Resilience Act) kommer att innebära betydande förändringar för hur finansiella tjänsteföretag hanterar sina datasäkerhetsrutiner. Enligt DORA måste alla finansinstitut genomföra ett program för cybersäkerhet som omfattar policyer, förfaranden och riskhanteringsaktiviteter. Dessa policyer måste årligen granskas av en utomstående finansiell tillsynsmyndighet som kommer att göra en bedömning av om de är tillräckliga eller inte utifrån branschstandarder. 

Finansiella institut måste också införa en incidenthanteringsplan som beskriver hur de ska agera när ett cyberbrott inträffar eller när det finns indikationer på att ett sådant brott kan inträffa inom en snar framtid. Planen måste innehålla en strategi för att hantera olika typer av attacker (t.ex. phishing-bedrägerier) samt förfaranden för att återhämta sig från en attack. 

DORA beskriver vissa scenarier där det kan vara tillämpligt: 

Alla organisationer som arbetar direkt med finansinstitut och företag som tjänsteleverantörer omfattas till exempel av DORA som ett tvång och skulle övervakas direkt av en finansiell tillsynsmyndighet.

Detta skulle göras för att avgöra om leverantörens säkerhetsprotokoll och säkerhetsrutiner uppfyller de standarder som DORA har specificerat och om de kan tillhandahålla en riskfri miljö för hantering av känsliga finansiella uppgifter.

Organisationer som inte arbetar direkt med något finansinstitut kan frivilligt välja att följa DORA-lagen genom en oberoende revisor. 

DORA-lagen: Huvudvillkor och mål 

Lagen om digital operativ motståndskraft (Digital Operational Resilience Act, DORA) säkerställer finanssektorns förmåga att bedriva säker och motståndskraftig verksamhet. Lagen har följande huvudkrav:

1. Företagen måste ha en incidenthanteringsplan som innehåller en detaljerad beskrivning av vad som utgör en cyberattack, hur de anställda ska reagera och hur verksamheten ska återställas om det sker ett intrång.
2. Företagen måste ha ett program för cybersäkerhet som omfattar en bedömning av riskerna med cyberattacker och en handlingsplan för att minska dessa risker.
3. Företagen måste upprätthålla lämpliga säkerhetskontroller för sin digitala infrastruktur. Dessa kontroller omfattar kryptering, autentisering, åtkomstkontroller, verifieringsspår, övervakningssystem, system för hantering av händelser och planer för incidenthantering.
4. Företagen måste rapportera incidenter när de inträffar så att tillsynsmyndigheterna kan bedöma deras sårbarheter och ge rekommendationer för att förbättra deras säkerhetsläge.
5. Företagen bör ha en plan för att säkerställa kontinuitet i tjänsterna vid eventuella störningar.

Ett steg närmare DORA-överensstämmelse med PowerDMARC

Organisationer ökar sin säkerhetsnivå på grund av DORA-lagen, som kräver digital säkerhet, nätverkssäkerhet, molnsäkerhet och e-postsäkerhet. Eftersom e-post är grunden för dagens kommunikation och utgör den centrala kommunikationsplattformen för de flesta företag är det avgörande att säkra din e-postinfrastruktur för att uppnå DORA-överensstämmelse. 

PowerDMARC är en SaaS-plattform med flera hyresgäster som skyddar dina e-postkanaler genom att använda en heltäckande autentiseringssvit för e-post. Vi är ISO 27001, SOC Type 2 och GDPR-kompatibla och har framgångsrikt arbetat med olika finansiella organisationer för att skydda deras e-postdata och domän mot säkerhetsrisker. 

Vi hjälper dig: 

• Skydda din e-post mot spoofing och imitationer med DMARC
• Skydda mot cyberavlyssning och attacker från en man i mitten med MTA-STS
• Övervaka autentiseringsresultaten för din e-post och felsök forensiska incidenter med hjälp av DMARC-rapportering
• Håll dig under gränsen för SPF-sökning för att undvika Permerrors med SPF-utjämning

Kontakta oss i dag för att uppnå överensstämmelse med din e-post!