OpenText startsida.
Tekniska ämnen

Vad är DORA-lagen (Digital Operational Resilience Act)?

Vad är logotyp

Översikt

Digital Operational Resilience Act (DORA) är en omfattande EU-förordning som syftar till att stärka den finansiella sektorns digitala operativa motståndskraft. DORA, som trädde i kraft i januari 2023, skapar ett enhetligt ramverk för finansinstitutens hantering av risker inom informations- och kommunikationsteknik (IKT), incidentrapportering och relationer med tredjepartsleverantörer. Denna banbrytande lagstiftning är EU:s svar på den ökande digitaliseringen av finansiella tjänster och behovet av robusta åtgärder för cybersäkerhet.

Se hur dina CMDB-, ITSM- (IT Service Management) och observability-lösningar kan bidra till efterlevnad av DORA.

Läs vitboken

Lagen om digital operativ motståndskraft

Förståelse för DORA:s omfattning och tillämpning

DORA gäller för ett stort antal finansiella enheter som är verksamma inom Europeiska unionen. Banker och kreditinstitut, både traditionella och digitala, utgör kärnan i de reglerade enheterna. Men DORA:s räckvidd är omfattande och sträcker sig bortom traditionella bank- och kreditinstitut och omfattar även

  • Betalningsinstitut, inklusive betalningsinstitut som är undantagna enligt direktiv (EU) 2015/2366
  • Leverantörer av kontoinformationstjänster
  • Institut för elektroniska pengar, inklusive institut för elektroniska pengar som är undantagna enligt direktiv 2009/110/EG
  • Värdepappersföretag
  • Leverantörer av kryptotillgångstjänster som auktoriserats enligt Europaparlamentets och rådets förordning om marknader för kryptotillgångar och om ändring av förordningarna (EU) nr 1093/2010 och (EU) nr 1095/2010 samt direktiven 2013/36/EU och (EU) 2019/1937 ("förordningen om marknader för kryptotillgångar") och emittenter av tillgångsrefererade tokens
  • Centrala värdepappersförvarare
  • Centrala motparter
  • Handelsplatser
  • Handelsregister
  • Förvaltare av alternativa investeringsfonder
  • Förvaltningsbolag
  • Leverantörer av datarapporteringstjänster
  • Försäkrings- och återförsäkringsföretag
  • Försäkringsförmedlare, återförsäkringsförmedlare och försäkringsförmedlare som bedriver förmedling av tilläggsförsäkringar
  • Institutioner för tjänstepensioner
  • Kreditvärderingsinstitut
  • Administratörer av kritiska riktmärken
  • Leverantörer av crowdfunding-tjänster
  • Värdepapperiseringsregister
  • Tredjepartsleverantörer av ICT-tjänster

Vilka är de viktigaste komponenterna i efterlevnaden av DORA?

Riskhantering inom ICT

Finansiella enheter måste införa omfattande ramverk för hantering av IKT-risker som omfattar flera lager av säkerhet och tillsyn. Dessa ramverk kräver detaljerade strategier och policyer som specifikt tar upp digital motståndskraft, inklusive konkreta åtgärder för att förebygga och hantera cyberhot. Organisationer måste genomföra regelbundna riskbedömningar som identifierar både nuvarande och nya sårbarheter i hela deras digitala infrastruktur.

Säkerhetsåtgärderna måste omfatta sofistikerade åtkomstkontroller som hanterar användarprivilegier och upprätthåller dataintegriteten, tillsammans med toppmoderna krypteringsprotokoll för att skydda känslig finansiell information. Ramverket kräver kontinuerliga övervakningssystem som ger insikter i realtid om potentiella säkerhetshot och systemets prestanda. Tydliga styrningsstrukturer måste inrättas, med specifika roller och ansvarsområden för att säkerställa ansvarsskyldighet i riskhanteringsförfarandena.

Hantering och rapportering av incidenter

DORA föreskriver sofistikerade rutiner för incidenthantering och rapportering som går utöver grundläggande cybersäkerhetsprotokoll. Organisationer måste utveckla och upprätthålla robusta detekteringssystem som kan identifiera både uppenbara och subtila IKT-relaterade incidenter. Detta krav omfattar implementering av flerdelade klassificeringssystem som korrekt bedömer incidentens allvarlighetsgrad baserat på fördefinierade kriterier och potentiell påverkan på den finansiella verksamheten.

Detaljerade incidentloggar måste upprätthållas med omfattande dokumentation av svarsförfaranden, lösningssteg och resultatanalyser. Större incidenter kräver omedelbar rapportering till berörda myndigheter via etablerade kanaler, med specifika tidsramar för första anmälan och uppföljningsrapporter. Organisationer måste utveckla och regelbundet uppdatera kommunikationsplaner som riktar sig till olika intressentgrupper, inklusive kunder, partners, tillsynsorgan och media vid behov.

Test av digital operativ motståndskraft

DORA kräver systematisk testning av digital motståndskraft med hjälp av flera olika metoder. Sårbarhetsbedömningar måste genomföras regelbundet med hjälp av avancerade testverktyg och metoder för att identifiera potentiella svagheter i IKT-system. Oberoende parter måste utföra penetrationstest för att säkerställa en opartisk utvärdering av säkerhetsåtgärder och identifiera potentiella intrångspunkter. Scenariobaserade tester bör simulera verkliga cyberhot och driftstörningar för att utvärdera svarsförmågan och systemets motståndskraft.

Säkerhetsåtgärderna måste valideras regelbundet för att säkerställa att de fortsätter att vara effektiva mot nya hot. Alla testaktiviteter kräver detaljerad dokumentation, inklusive metoder som använts, resultat och åtgärder som vidtagits.

Riskhantering för tredje part

DORA betonar omfattande hantering av relationer med leverantörer av ICT-tjänster genom strukturerad tillsyn och dokumentation. Organisationer måste genomföra grundliga riskbedömningar av tredjepartsleverantörer och utvärdera deras tekniska kapacitet, säkerhetsåtgärder och planer för kontinuitet i verksamheten. Serviceavtalen behöver ses över regelbundet för att säkerställa att de överensstämmer med gällande lagkrav och operativa behov.

Organisationer måste upprätthålla ett detaljerat leverantörsregister som dokumenterar alla kritiska och icke-kritiska servicearrangemang, inklusive specifika tjänster som tillhandahålls, datatillgångsnivåer och säkerhetsåtgärder på plats. Arrangemang för kritiska tjänster måste rapporteras till tillsynsmyndigheter, med uppdateringar vid betydande förändringar. Avtalsförpliktelser måste uttryckligen ta upp efterlevnadskrav, inklusive säkerhetsåtgärder, incidentrapportering och granskningsrättigheter.

Hur gör OpenText IT Operations-lösningar hjälper till med DORA-efterlevnad?

OpenText IT Operations-lösningar hjälper finansinstitut att uppnå och upprätthålla DORA-efterlevnad genom teknikplattformar som uppfyller viktiga lagkrav.

OpenText™ Universal Discovery and CMDB fungerar som det grundläggande elementet för DORA-efterlevnad genom att ge djup synlighet i en organisations IKT-infrastruktur. Med både agentlösa och agentbaserade identifieringsfunktioner skapar den här lösningen en heltäckande bild av IT-miljöer, inklusive enheter som är anslutna via säkra VPN eller intermittenta internetanslutningar. Den utför händelsebaserade uppdateringar av multicloud-miljöer, vilket säkerställer att finansinstitut får en korrekt bild i realtid av hela sin infrastruktur, både lokalt och i molnet. Dess funktioner för tjänstekartläggning gör det möjligt för organisationer att före implementeringen förutse hur förändringar kan påverka kritiska finansiella tjänster - vilket direkt uppfyller DORA:s krav på riskhantering och operativ motståndskraft.

OpenText™ Service Management integrerar viktiga ITSM- och IT-tillgångshanteringsfunktioner för att skapa tydligt ägande och hantering av tjänster, applikationer och stödjande IKT-utrustning. Lösningen innehåller ITIL-certifierade mallar för bästa praxis som täcker incident-, problem-, förändrings-, release- och konfigurationshantering - alla viktiga delar för efterlevnad av DORA. Dessa mallar hjälper organisationer att etablera automatiserade svarskedjor som minimerar serviceavbrott och säkerställer en konsekvent hantering av ICT-relaterade incidenter, vilket uppfyller DORA:s krav på incidenthantering och rapportering.

OpenText™ Core Infrastructure Observability adresserar DORA: s övervakningskrav genom att tillhandahålla end-to-end-synlighet för multicloud och lokala resurser. AI-drivna funktioner för att upptäcka avvikelser gör det möjligt för finansinstitut att identifiera potentiella problem innan de påverkar tjänsteleveransen. Organisationer kan också inrätta mekanismer för att snabbt upptäcka avvikande aktiviteter - inklusive problem med nätverksprestanda och IKT-relaterade incidenter - och identifiera potentiella "single points of failure" som kan påverka den operativa motståndskraften.

OpenText™ Core Application Observability kompletterar infrastrukturövervakning genom att fokusera på applikationsprestanda och tjänsteleverans. Denna lösning hjälper organisationer att säkerställa att kritiska applikationer för finansiella tjänster upprätthåller optimal prestanda och tillgänglighet. Det möjliggör omfattande grundorsaksanalys och dokumentation av incidenter, vilket stöder DORA:s krav på incidenthantering och -lösning. Integrerade övervaknings- och uppföljningsfunktioner säkerställer att organisationerna upprätthåller en jämn servicekvalitet samtidigt som de uppfyller lagstadgade rapporteringskrav.

DORA-beredskap: Dags att agera

DORA innebär en betydande förändring i hur finansinstituten måste förhålla sig till digital verksamhet och riskhantering. En framgångsrik efterlevnad av DORA kräver en omfattande strategi som kombinerar robusta tekniska lösningar, tydliga processer och ett kontinuerligt engagemang för digital motståndskraft. Organisationer måste påbörja sin efterlevnadsresa i god tid före tidsfristen i januari 2025 för att säkerställa att de uppfyller alla krav och upprätthåller den nödvändiga operativa motståndskraften för den digitala tidsåldern. Med OpenText's IT Operations-lösningar kan finansinstitut bygga en stark grund för DORA-efterlevnad samtidigt som de förbättrar sin övergripande IT-driftseffektivitet och säkerhetsställning.

Hur kan vi hjälpa till?

Fotnoter