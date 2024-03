Debattinnlegg: Ove André​​​​ Vanebo, assosiert partner i CMS Kluge Advokatfirma

Lær deg navnet «lov om digital operasjonell motstandsdyktighet i finanssektoren». Loven skal sørge for at EUs såkalte DORA-direktiv (Digital Operational Resilience Act) blir norsk lov, og er nylig lagt ut på høring av Finansdepartementet.

Loven omfatter 21 ulike aktører, fra kredittinstitusjoner og betalingsforetak til pensjonsforetak. Mange av aktørene er vant til krav fra blant annet IKT-forskriften og personopplysningsloven. Likevel er det større grad av detaljering enn det vi er vant til.

Det er fornuftig å starte med arbeid basert på de fem «pilarene» DORA bygger på. Første pilar krever et rammeverk for IKT-risikostyring. Mye av dette bør finansielle institusjoner allerede ha, med tiltak for å håndtere risiko. DORA krever imidlertid mer innsats fra styret, som blant annet må innføre retningslinjer for beskyttelse av data, og fastsette roller og ansvarsområder, samt overordnet strategi.

Hendelseshåndtering er pilar nummer to, med detaljerte regler knyttet til både oppfølging, dokumentasjon og prosess. Det må utformes foreløpige rapporter underveis om håndteringen av hendelser.

Det tredje elementet er testing av den digitale motstandsdyktigheten. Testene skal gjennomføres av uavhengige parter, enten interne eller eksterne. Sikkerhetshull må tettes.

Et fjerde element er informasjons- og etterretningsdeling. Virksomheter skal kunne dele informasjon med sine partnere, og legge grunnlaget for diskusjoner om sårbarhet og trusler – slik mange banker allerede gjør gjennom samarbeidsorganisasjonen Nordic Financial CERT.

Mest arbeid finner vi i pilar fem, som gjelder avtaler og oppfølging av IKT-leverandører. Det skal lages registre med oversikt over IKT-leverandører og hvilke av tjenestene som understøtter kritiske eller viktige funksjoner. Tilsynsmyndighetene skal varsles årlig om nye avtaler.

Kun leverandører som etterlever standarder for informasjonssikkerhet kan brukes. Det skal inngås detaljerte avtaler, som blant annet må beskrive tjenestekvalitet og leveransebeskrivelse. Leverandører som står for kritiske eller viktige funksjoner må ettergås grundig.

Overvåkningsmyndigheter skal følge med på leverandørene. Blant annet skal de vurdere om leverandører har helhetlige, forsvarlige og effektive regler, og prosedyrer for å håndtere IKT-risiko.

Finanstilsynet mener regelverket kan føre til lavere risiko for skadelige IKT-hendelser, og dermed gi besparelser for foretakene. Basert på de detaljerte kravene, vil det overraske meg om ikke totalpakken blir netto dyrere for foretakene. Finanssektoren kan imidlertid gjøre lite annet enn å følge opp kravene – og gjøres ikke det, venter et overtredelsesgebyr på inntil 50 millioner kroner både for foretak og enkeltpersoner.

