Forordningen DORA og direktivet NIS2 er begge viktige deler av europeisk cybersikkerhetslovgivning. De kompletterer hverandre, ettersom NIS2 har som mål å styrke det overordnede nivået av cybersikkerhet i EU, mens DORA sikrer at det finansielle systemet fungerer selv under et cyberangrep. Hele leverandørkjeden vil bli påvirket, og for at det skal fungere smidig, blir partnerskap viktigere.
NIS og NIS2
NIS (Network and Information Security) trådte i kraft i 2018 og var det første steget mot en skjerpet lovgivning for cybersikkerhet innen EU. Direktivet rettet seg mot leverandører av samfunnsviktige tjenester som banker, transport og helsevesen, samt visse digitale tjenester som søkemotorer, skybaserte tjenester og markedsplasser på nett. Målet var blant annet å sikre at alle medlemslandene var forberedt på cybertrusler.
NIS2 er en videreutvikling av NIS. Kravene vil gjelde nye bransjer og aktører som transport, bank og finans, offentlig forvaltning, energi, samt deres leverandører og underleverandører. I tillegg til å sikre at samfunnsviktige selskaper og organisasjoner har tilstrekkelig digital sikkerhet, innebærer NIS2 tydeligere overvåkningskrav, tettere koordinering mellom EU sine medlemsstater og styrkede sanksjoner for manglende etterlevelse.
Siden det er et europeisk direktiv, vil hvert enkelt land beslutte hva som blir lovkrav. Hver medlemsstat må innføre direktivet i nasjonal lovgivning senest 18. oktober 2024, når NIS-direktivet opphører å gjelde.
DORA
DORA (Digital Operational Resilience Act) er EU sin forordning for finansielle aktører som banker, forsikringsselskaper, verdipapirforetak og deres tredjepartsleverandører. Målet er å styrke finanssektorens digitale operative motstandskraft mot blant annet cybertrusler. Bedriftene må ha en effektiv administrasjon for informasjonssikkerhet, innføre rutiner og tiltak for å kunne håndtere og rapportere ulike IT-hendelser, og utføre regelmessige tester og overvåkninger av forskjellige digitale operasjoner.
Berørte finansforetak kan ikke vente med å agere, og må begynne å vurdere hva dette betyr for eget selskap. Også underleverandører trenger å forberede seg, da de i sin tur vil bli påvirket av finansforetakene. DORA begynte å gjelde fra begynnelsen av 2023, og nå har finansielle aktører til januar 2025 for å sikre etterlevelse.
DORA og NIS2 - Slik forbereder du deg i 5 trinn
Forberedelser er nødvendige, men hvor begynner du? Å navigere disse reglene og kravene kan være en utfordring, men de rette forberedelsene kan gjøre overgangen lettere.
- Forstå forutsetningene
Kunnskap er makt. Les og analyser DORA og NIS2 nøye for å forstå nøyaktig hva som kreves av selskapet ditt. Ta del i informasjon fra ulike kanaler som advokatfirmaer og viktige aktører innen informasjonssikkerhet, og vær bevisst på at det ikke finnes en rask løsning. Underleverandører vil få spørsmål fra finansselskaper de samarbeider med og må være forberedt på strengere informasjonssikkerhetskrav. Husk også at reguleringene ikke bare påvirker IT-avdelingen, men også operativ virksomhet, juss, HR og andre avdelinger. - Oppdater eller implementer nye policyer og prosedyrer
For å garantere at selskapet lever opp til de nye reglene bør risikovurderinger utføres. Basert på din forståelse av reglene og vurdering av nåværende kapasitet, bør du deretter utforme og implementere oppdaterte eller helt nye sikkerhetspolicyer og prosedyrer. I dette arbeidet er det verdifullt å få hjelp. Selskaper kan henvende seg til bransjeorganisasjoner og kommuner; regioner og myndigheter kan blant annet rådføre seg med MSB eller andre myndigheter. Kommuner og regioner kan også få støtte fra SKR. - Opplæring og bevissthet
En viktig del av forberedelsene er opplæring. Det er ikke nok at du som CISO er oppdatert, alle ansatte må være klar over viktigheten av cybersikkerhet og hva de kan gjøre for å bidra. En felles innsats der hele selskapet er forberedt, beskytter organisasjonen. Det gir også selskapet en konkurransefordel og letter for eksempel ved anbud når man som kunde og leverandør har en felles forståelse gjennom prosessen. - Kontinuerlig oppfølging
Gjennomgå og oppdater sikkerhetspolicyer og prosedyrer regelmessig for å sikre at selskapet fortsatt overholder de nye reguleringene. - Felles innsats
Det er viktig å understreke at forberedelsene til DORA og NIS2 krever en koordinert innsats fra hele organisasjonen. Alle deler av virksomheten; fra IT til HR og juridisk avdeling, bør samarbeide for å sikre etterlevelse og sikkerhet i et stadig skiftende regelverksmiljø.
Partnerskap: En forutsetning for fremgang
Vi vil se flere cyberangrep. En årsak til dette er bedre verktøy og prosesser for å oppdage inntrengninger, noe som vil føre til at flere angrep rapporteres. Samtidig vil mange selskaper håndtere problemene bedre og få en sterkere motstandskraft takket være forbedret hendelseshåndtering og flere rapporterte hendelser.
Sikkerheten vil øke betydelig hvis vi gjør det på riktig måte og deler informasjon. Det vil kreves et tettere samarbeid mellom myndigheter og selskaper, og mellom selskaper. Dette vil gjøre oss mer robuste og gi oss muligheten til å få varsler som forbereder oss bedre.
Per Gustavsson, CISO i Stratsys, mener også at forholdet mellom kunde og leverandør har endret seg. Fra å være tydelig adskilte aktører, tror han på en fremtidig symbiose og økt transparens som vil gjøre det lettere for finansselskaper å identifisere passende leverandører.
"Vi ser et behov for økt transparens og samarbeid. Vi inngår i flere «sammenhold» i dag. Den svakeste lenken er interaksjonen mellom systemer og mennesker, og her kan hackere alltid finne en åpning. Men med et sterkt samarbeid blir det vanskeligere for dem å trenge igjennom."
Per Gustavsson, CISO i Stratsys.
Vil du vite mer? Se på opptaket av webinaret vårt om rammeverk innen informasjonssikkerhet og databeskyttelse.