Fra IKT-forskrift til DORA-lov: Finanssektoren med underleverandører strammes ytterligere opp

Den nye DORA-loven trådte i kraft 1. juli, og implementer dermed EUs forordning om digital operasjonell motstandskraft (DORA) i norsk rett. DORA stiller detaljerte krav til hvordan finansforetak og deres IKT-leverandører skal:

• Håndtere risiko
• Sikre kontinuitet i tjenestene
• Forbereder seg på alvorlige cyberhendelser

Regelverket er omfattende og favner bredt: banker, forsikringsselskaper, fondsforvaltere, betalingsforetak, kryptotjenesteytere, verdipapirsentraler – og deres teknologipartnere. Et helt nytt grep er at DORA også innfører direkte EU-tilsyn med kritiske tredjepartsleverandører, som skyleverandører, programvarehus og driftsleverandører. Målene er klare:

• Styrke robustheten i finansmarkedene
• Beskytte forbrukere
• Redusere risikoen for systemiske hendelser som kan ramme hele økonomien

Mens IKT-forskriften fra 2003 var kort og manglet skarpe sanksjoner, er DORA lang med kraftig sanksjonsmuligheter. I DORA-loven er overtredelsesgebyret satt til maksimalt 50 millioner kroner. Videre kan fysiske personer bli ansvarlige og medvirkning omfattes. Alt dette betyr en kraftig skjerpelse fra IKT-forskriften.

Hvorfor skjerpes reglene?

DORA skal sikre at finansielle foretak kan tåle, håndtere og gjenopprette tjenester etter driftsforstyrrelser forårsaket av hendelser knyttet til informasjons- og kommunikasjonsteknologi (IKT).

Reglene er motivert i at finanssektoren stadig blir mer avhengig av digitale systemer, og at risikoen for og skadepotensialet av alvorlige cyberangrep, datainnbrudd og IKT-svikt har økt betydelig.

Hovedmålene med DORA er:

• Styrke den digitale operasjonelle motstandskraften til finansielle foretak.
• Harmonisere kravene til IKT-risikostyring på tvers av EUs medlemsstater.
• Sikre finansiell stabilitet og beskytte forbrukere mot IKT-relaterte forstyrrelser.
• Forsterke tilsynet med kritiske tredjeparts IKT-leverandører.

DORA er en del av EUs bredere strategi for digital finans, som har som mål å fremme innovasjon samtidig som man sikrer stabilitet og forbrukerbeskyttelse.

Hvem er omfattet?

DORA gjelder for et bredt spekter av aktører i finanssektoren, inkludert leverandører av IKT-tjenester som understøtter leverandører av finansielle tjenester, herunder blant annet:

Finansinstitusjoner:

• Banker og kredittinstitusjoner
• Investeringsforetak
• Sentrale motparter, dvs. foretak som er mellomledd i finansielle transaksjoner
• Betalingsforetak
• Regulerte markeder
• Forvaltere av verdipapirfond
• E-pengeforetak
• Verdipapirsentraler foretak som forestå oppgjør
• Forsikrings- og gjenforsikringsselskaper
• Forsikringsmeglere og agenter
• Ytere av kryptotjenester
• Kredittvurderingsbyråer
• Crowdfunding-plattformer
• Forvaltere av alternative investeringsfond (AIF)
• Tjenestepensjon

Kritiske tredjeparts IKT-leverandører

• Skyleverandører
• Dataanalysefirmaer
• Programvareleverandører
• Driftsleverandører
• Leverandører av vedlikeholdstjenester
• Andre IKT-leverandører som anses som kritiske for finansielle foretak

Dersom man leverer tjenester til virksomheter som leverer finansielle tjenester og tilknyttede tjenester, bør man vurdere konkret om reglene får anvendelse.

Støtter ikke underleverandøren ‘kritiske og viktige funksjoner’ er kravene mildere

Som del av den risikobaserte tilnærmingen i DORA skiller reglene mellom virksomheter som støtter såkalte ‘kritiske og viktige funksjoner’. Støttes ikke slike funksjoner, er det en del krav som ikke gjelder. Typisk vil likevel en del omfattede virksomheter stille krav til sine underleverandører uten å vurdere nøye om disse vil være kritiske nok til også å skulle underlegges de omfattende kravene. Ved å være på vakt som underleverandør mange kunne slippe å forholde seg til regler som kan være uforholdsmessig byrdefulle å etterleve.

Unntatte områder og virksomheter

Enkelte typer virksomheter er bare omfattet av deler av reglene eller unntatt:

• Offentlige organer og myndigheter er generelt unntatt, med mindre de er regulert under EUs finanslovgivning.
• Enheter med minimal avhengighet av IKT kan også falle utenfor virkeområdet.
• Små AIF forvaltere (som er under terskelverdiene i AIFM direktivet
• Mikroforetak som er finansforetak med mindre enn 10 ansatte og med omsetning og balanse som ikke overstiger 2 millioner Euro.

Hvilke krav stiller DORA til finansielle foretak?

Helt kort kan reglene for finansforetakene oppsummeres slik:

• Bygg et robust, styreforankret IKT-risikorammesystem
• Vær forberedt på å rapportere hendelser raskt, strukturert og standardisert
• Test systemene jevnlig – og gjennomfør avanserte tester om du er kritisk aktør

Proposjonal anvendelse

Et proporsjonalitetsprinsipp gjelder for forordningen. Det betyr at regulerte virksomheter skal ta hensyn til risikoprofil og kompleksiteten i tjenestenes art, størrelse mv. (risikobasert tilnærming). Det foreligger en del EU-veiledninger, som vil ha relevans for Norge.

Krav til IKT-risikostyring 

Alle omfattede foretak må etablere et helhetlig rammeverk for operasjonell motstandskraft gjennom IKT-risikostyring, forankret på styrenivå. Styret er ansvarlig for å vedta og overvåke IKT-strategien, og styret skal etablere et helhetlig IKT-risiko styringsrammeverk. Dette skal omfatte:

• Strategi
• Retningslinjer
• Prosedyrer
• IKT-protokoller
• Kartlegging av systemer (programvare, kommunikasjon og utstyr)

Styret og ledelsen er ansvarlige

Styrets og ledelsens («management body») ansvar omfatter videre blant annet:

• Overordnede ansvar for foretakets IKT‑risiko
• Etablere policyer som sikrer høye standarder for tilgjengelighet, autentisitet, integritet og konfidensialitet av data
• Fastsette klare roller, ansvar, styringsordninger for alle IKT‑relaterte funksjoner
• Fastsette og godkjenne strategien for digital operasjonell motstandskraft
• Foretakets IKT‑beredskapspolicy og IKT‑respons‑ og gjenopprettingsplaner
• Foretakets interne revisjonsplaner for IKT
• Budsjett for å dekke behovene for digital operasjonell motstandskraft
• Godkjenne og revidere finansforetakets policy for bruk av IKT‑tjenester levert av IKT‑tredjepartsleverandører
• Etablere rapporteringssystemer som informerer styret om avtaler, endringer og virkningen av tredjeparts IKT-leverandører på kritiske funksjoner

Organisere, kartlegge, beskytte og rapportere

Finansforetakene skal blant annet identifisere og beskytte kritiske systemer, data og avhengigheter. Dette inkluderer både tekniske sikringstiltak (f.eks. tilgangsstyring, kryptering, sikkerhetsbarrierer) og organisatoriske tiltak. Videre skal systemene overvåkes løpende for å oppdage hendelser og sårbarheter.

Finansforetakene må ha etablerte beredskaps- og gjenopprettingsplaner. Disse skal sikre at driften kan fortsette, eller raskt gjenopptas, etter et avbrudd. Planene skal testes og oppdateres jevnlig, og foretakene skal lære av hendelser for å kontinuerlig forbedre sin digitale motstandskraft.

Finansforetaket skal opprette roller for overvåking av avtaler med IKT tredjeparter, og det skal utpekes en i foretakets sentrale ledelse som skal ha ansvar for å følge opp risiko eksponering knyttet til slike avtaler.

Policier skal revideres av styret årlig med angivelse av tiltak for oppfølgning.

I tillegg kommer detaljerte krav til periodisk revisjon og revisjon etter alvorlige IKT-hendelser. IKT risikostyringsrammeverket skal revideres regelmessig av kompetente personer. Oppfølgning av slik revisjon skal formaliseres.

Betydelige IKT-hendelser skal rapporteres til Finanstilsynet. Rapportene skal angi hendelsens art, omfang, tiltak som er gjort, samt lærdom og forebygging.

Testing og dokumentasjon

Operasjonell motstandskraft skal testes regelmessig, herunder sårbarhetsanalyser og penetrasjonstester. Resultatene skal dokumenteres og brukes til forbedring.

Risiko ved tredjepartsleverandører må vurderes og håndteres. Kontrakter må inneholde krav om overvåking, tjenestekontinuitet og samarbeid med tilsynsmyndigheter.

IKT-leverandører reguleres

Også IKT-leverandører er direkte regulert, prinsipielt sett på samme måte som i GDPR, meni motsetning til i NIS2-direktivet. Gjennom DORA etableres et europeisk rammeverk for tilsyn med både nasjonale og globale IKT-leverandører.

Finansforetak skal ha et management-program for sine IKT leverandører som sikrer at de har den samme kontroll med hensyn til IKT-risiko som for interne IKT funksjoner.

For tredjepartsleverandører er kjernen i DORA at styring av IKT‑tredjepartsrisiko ikke lenger er et rent kontraktspørsmål, men et virksomhetskritisk styrings- og tilsynsanliggende. Reglene knytter ansvaret til styre og ledelse og:

• presiserer hva som må stå i avtalene
• adresserer konsentrasjonsrisiko
• etablerer et EU‑tilsyn med kritiske IKT‑leverandører

Underleverandører skal omfattes av risikostyringsstystemet

All IKT‑tredjepartsrisiko skal håndteres som en integrert del av foretakets IKT‑risikostyring og stå i forhold til størrelse, risikoprofil og kompleksitet.

Outsourcing og bruk av skytjenester mv endrer ikke ansvaret. Foretakets ledelse er fortsatt fullt ansvarlig for etterlevelse. For andre enn såkalte mikroforetak skal styret vedta og jevnlig revidere en strategi for IKT‑tredjepartsrisiko som omfatter bruk av leverandører til kritiske eller viktige funksjoner, på foretaks‑, del‑konsolidert og konsolidert nivå.

Finansforetakene må ha et register over alle IKT‑avtaler. Registeret skal holdes løpende oppdatert, inngå i årlig rapportering til tilsyn mv.

Før nye avtaler inngås må det gjennomføres en due diligence (forsvarlig) gjennomgang som dekker:

• Vurdering av tjenestens kritikalitet (inkludert om kritiske og viktige funksjoner støttes)
• Vurdere om finansforetaket kan føre effektiv kontroll av leverandøren
• Vurdere risikoer ved kontrakt og leveranse
• Vurdere konsentrasjonsrisiko
• For kritiske leveranser vurdere om leverandør tilfredsstiller up-to-date og høyeste IKT sikkerhetstandarder
• Vurdering av leverandøren
• Identifikasjon av interessekonflikter

Dette betyr at mange IKT-leverandører til finansforetak i praksis også underlegges omfattende krav. Kravene gjelder som nevnt særlig underleverandører som støtter kritiske og viktig funksjoner. Verktøyet er i hovedsak kontrakt.

Krav til kontraktene med underleverandører

Eksisterende IKT-avtaler må revideres og nye inngås med omhu. Videre skal Finanstilsynet informeres om alle planlagte IKT-kontrakter vedrørende viktige og kritiske IKT-funksjoner.

DORA angir også en rekke detaljerte krav til hva kontrakter med IKT-leverandører skal inneholde og prosessen frem til inngått avtale.: Som nevnt påvirkes disse av om leverandøren spiller en kritiske rolle.

Har du spørsmål om EU-regelverket DORA, kontakt oss i fagavdeling for Teknologi, IT og AI - du finner oss her.