DORA/NIS2

NIS2 er en EU-forordning som har som mål å styrke IT-sikkerheten til kritisk infrastruktur i Europa. Den ble vedtatt i november 2021 og skal være implementert i medlemslandenes nasjonale rett innen 24. oktober 2024. I Norge er det forventet at NIS2-regelverket vil tre i kraft i løpet av høsten 2024.


Hovedtrekkene i NIS2 inkluderer:

  • Utvidelse av omfanget av virksomheter som er omfattet av regelverket: NIS2 omfatter et bredere spekter av virksomheter enn NIS1, inkludert energi, transport, helsevesen, vannforsyning og avfallsbehandling.
  • Strengere krav til risikostyring: Bedrifter må identifisere, analysere og håndtere IKT-risiko på en systematisk måte.
  • Innførsel av krav til hendelsesrapportering: Bedrifter må rapportere alvorlige IKT-hendelser til tilsynsmyndighetene.
  • Økt tilsyn og håndheving: Nasjonale tilsynsmyndigheter får nye verktøy for å håndheve regelverket, inkludert muligheten til å ilegge bøter.

 

Formålet med NIS2 er:

  • Å øke motstandsdyktigheten til kritisk infrastruktur mot cyberangrep og andre IT-hendelser.
  • Å beskytte forbrukerdata og kritiske funksjoner.
  • Å styrke tilliten til det digitale samfunnet.

 
NIS2 er et viktig skritt for å styrke Europas IT-sikkerhet. Det er et komplekst regelverk med mange detaljer, og bedrifter som er omfattet av regelverket, bør søke profesjonell veiledning for å sikre at de overholder alle kravene.

DORA: Styrket digital motstandskraft i finanssektoren
DORA, eller Digital Operational Resilience Act, er en forordning fra EU som tar sikte på å styrke finanssektorens evne til å håndtere digitale trusler og hendelser. Forordningen fokuserer på fem hovedområder:

  1. Kodifisering av IKT-risikohåndtering: DORA etablerer et felles rammeverk for hvordan finansinstitusjoner skal håndtere IKT-risiko. Dette inkluderer krav til risikovurdering, planlegging, testing og rapportering.
  2. Hevet IKT-sikkerhetsnivå: Forordningen setter minimumsstandarder for IKT-sikkerhet i finanssektoren, med fokus på områder som tilgangskontroll, datakryptering og sikkerhetsoppdateringer.
  3. Ansvar hos ledelsen: DORA tydeliggjør at ansvaret for IKT-sikkerhet ligger hos selskapets ledelse. Ledelsen må ha nødvendig kompetanse og ressurser for å håndtere IKT-risiko.
  4. Informasjonsutveksling: DORA etablerer en infrastruktur for å utveksle informasjon om IKT-hendelser mellom finansinstitusjoner og tilsynsmyndigheter.
  5. Tredjepartsleverandører: Forordningen stiller krav til hvordan finansinstitusjoner skal håndtere risiko knyttet til tredjepartsleverandører av IKT-tjenester.

Forordningen representerer et betydelig steg mot en mer robust og digitalt sikker finanssektor. Ved å implementere DORA på en effektiv måte kan finansinstitusjoner styrke sin evne til å håndtere digitale trusler og hendelser, og dermed beskytte kunder og brukere.
Med en standardisert tilnærming og metodikk, og med lang og omfattende erfaring både fra leverandør- og kundesiden birdar Stover med det praktiske arbeidet for å få på plass nødvendige oppfølging og kontroll med underleverandører i IKT verdikjeden.

Noen konkrete eksempler på fokusområder for å få på plass ende-til-ende compiance i verdikjedene

  • Felles prinsipper for overvåking av tredjepartsrisiko.
  • Harmoniserte grunnleggende regler for kontraktsinngåelse og serviceavtaler.
  • Bedre utgangspunkt for vurdering av IKT-risiko fra tredjepartsleverandører.