Dora handler om å skape en intern motstandskraft og løfte digital risiko til et høyere nivå. Mange bedrifter avventer imidlertid å komme i gang da de tenker at Dora ikke vil påvirke dem før langt frem i tid. Men mye må være på plass, og det er viktig å se over risiko i tide og sikre at man har et systematisk sikkerhetsarbeid på plass.
Finansielle aktører som har vært godt regulert tidligere, ligger ofte lenger fremme i prosessen og har enklere for å ta til seg Dora – andre bedrifter har en lengre vei å gå. For at du som CISO skal ha lettere for å komme i gang deler tre eksperter sine beste tips her.
Intervjuede eksperter:
Pernilla Rönn, Visedirektør og seniorrådgiver, Seadot Cybersecurity
Magnus Lindkvist, Cyber Security Advisory, PwC
Thomas Baasnes, Cyber Security Director, Verdane
Hva må jeg som CISO gjøre konkret når det gjelder Dora nå?
Magnus: Hvis du tror eller vet at du vil bli påvirket, må du samarbeide med noen. Dette skal ikke være et soloprosjekt for en CISO, men du bør for eksempel samarbeide med risikosjefen eller andre roller i selskapet. Føler du at du sitter med dette alene, vil det bli en vanskelig reise. Vi må jobbe mer som et team fremover. Det går ikke lenger an å delegere spørsmålene nedover til en CISO, de må forstås gjennom hele kjeden oppover.
De fleste selskaper som påvirkes av Dora har allerede gjort dette arbeidet til en viss grad, men nå må vi tenke på hvordan vi blir mer motstandsdyktige og jobber på samme måte over hele EU. Det vil selvfølgelig se forskjellig ut for ulike organisasjoner, men vurder hva som kan gjøres annerledes fremover for å få god innsikt i de områdene du ikke har kontroll på i dag.
Holder det å være sertifisert i henhold til ISO 27001?
Pernilla: Det holder ikke, men du får mye med på kjøpet hvis du har sertifikatet. Deretter kommer nye momenter med Dora, for eksempel sikkerhetstester på et annet nivå enn det man er vant til gjennom ISO 27001. Det er også et annet fokus på tredjepartsrisiko hvor man ser på hele livssyklusperspektivet. Sammenlignet med andre regelverk legger ikke bare Dora vekt på faktiske hendelser, men også på tester og øvelser. Deretter kommer nye momenter med rapportering til tilsynsmyndigheter, og man skal ha et informasjonsregister på plass og være klar for det tilsynet som kommer på ulike måter.
Begynn med å danne deg en oppfatning om hvor du står i dag i forhold til kravbildet i Dora. Gjør en tolkning av kravene og en GAP-analyse for å finne ut din nåværende situasjon slik at du vet hvor du skal begynne og hva du har foran deg. Kartlegg også dine kritiske funksjoner, da dette er utgangspunktet for mye annet. Det gjelder også å virkelig forstå begrepene og definisjonene i Dora, omsette disse til din virksomhet, og skape et felles bilde.
Som finansselskap, hvordan ser dere på Dora i deres virksomhet?
Thomas: Vi jobber mye med å kartlegge systemene og tredjepartene våre. Det er også viktig å tidlig stille tøffere krav før innkjøp av nye systemer eller avtaler med en IT-leverandør. Kontraktene varer vanligvis i flere år og sikkerhetskravene må være inkludert. Dora fungerer veldig godt med risikostyring, så hvis du er ISO-sertifisert, har du et godt grunnlag for den delen av Dora. Via risikostyring skal du komme fram til hvilke kontroller du skal implementere. Men mange har vært dårlige på å se at disse kontrollene virkelig fungerer. Dora har et godt rammeverk for dette gjennom sårbarhetsskanning og penetrasjonstester. Du vil ikke investere i kontroller som ikke fungerer, det er bare bortkastede penger.
Mindre bedrifter har ofte ganske gode kontroller, men selve risikostyringen er kanskje ikke på plass. Vi prøver å få til dette ved å involvere styremedlemmer og få dem til å prioritere dette. Kartlegg først hva dere gjør innen risikostyring, risikostyring av tredjeparter, rapportering av hendelser og resiliens-testing i dag. Test deretter, og bruk resultatene i risikovurderingen. Testing trenger ikke å være en stor og kompleks greie. Ikke start på den tradisjonelle veien med risikovurdering først. Det kan være lettere for mindre bedrifter å få kontroll og et bedre grunnlag for sin risikovurdering.
Siden Dora gjelder finanssektoren, kommer vel kommuner, myndigheter og regioner unna?
Pernilla: Dora gjelder ikke direkte regioner og kommuner. Men den arbeidsmetodikken som man krever i Dora er veldig fordelaktig og øker motstandskraften i alle virksomheter. Øvelser og tester er verdifulle og lærerike, og resultatene kan brukes i det proaktive risikohåndteringsarbeidet. Det gagner alle å tenke på denne måten. Mange vet ikke hva som er det kritiske og viktige. Start med å identifisere dette først og la det prioritere og styre hvordan du utformer risikohåndteringen.
Thomas: Finansbransjen er som regel mer regulert, og vil påvirke andre selskaper selv om selskapene ikke rammes direkte av Dora. Veldig mange vil altså rammes indirekte av Dora, for eksempel de som leverer tjenester til finansbransjen. De vil også ha krav på seg som tredjepartsleverandør.
Hva er deres beste råd til CISO-er fremover?
Pernilla: Ta sjansen til å øke motstandskraften og forsterke cybersikkerhetshygienen deres. Ikke tenk på spørsmålet kun fra et compliance-perspektiv. Sørg for at det du gjør i forbindelse med Dora inkluderes i ditt daglige, systematiske informasjonsikkerhetsarbeid, slik at det ikke blir to separate spor rundt compliance og sikkerhet.
Thomas: Etabler sikkerhetskrav til tredjepartsleverandører; da det tar tid. For eksempel eksisterende kontrakter som går ut om tre år; da er det tre år til du kan få til disse sikkerhetskravene, det må du sette i gang med med en gang.
Magnus: Du har god kontroll på dine finansielle tall i dag, en finansiell revisjon og god oversikt over ESG- og CSRD-spørsmål. Føler du ikke at dine cybersikkerhetsspørsmål har samme betydning og støtte i forhold til Dora eller NIS2, så søk hjelp.
Denne teksten er basert på paneldebatten om Dora som var en del av vårt webinar om cybersikkerhet, den 16. november 2023. Webinaret inneholder også spennende samtaler om blant annet databeskyttelse og NIS2. Se hele webinaret her.