Nå får alle ansatte i finansbransjen et ansvar for IKT-sikkerhet og robusthet i egen bedrift. Bransjen må gjennom en kulturendring i organisasjonene, fra styret til kundeansvarlig. SpareBank 1 Midt-Norge er en av bankene som har brukt hele 2024 for å være klar i 2025.  

CYBERKRIM OG HYBRID KRIGFØRING 

Samfunnet er helt avhengig av at IKT-systemene i finans fungerer. Det blir krise om systemene er ute av drift enten det skyldes sabotasje eller teknisk svikt.  

Finansdepartementet oppsummerer bakgrunnen for de nye reglene i høringsnotatet om DORA som ble sendt ut i 2024: 

– Den finansielle infrastrukturen i Norge vurderes som robust, samtidig som endringer i det digitale trusselbildet, blant annet. som følge av Russlands angrep på Ukraina og økt digital kriminalitet, har bidratt til økt oppmerksomhet om faren for systemiske cyberhendelser og viktigheten av digital robusthet og motstandsdyktighet innen finanssektoren. 

– Alvorlig svikt i IKT-systemer kan i verste fall true den finansielle stabiliteten og påvirke samfunnssikkerheten, enten svikten forårsakes av operasjonelle avvik, vinningskriminalitet eller målrettede angrep. 

EU vedtok for to år siden forordningen DORA som trådte i kraft 17. januar. Regelverket skal gjøre finansforetakene i Europa bedre rustet til å stå i mot cyberangrep og andre IKT-hendelser. Kontroll med IKT-leverandører og deres underleverandører er skjerpet. Det er også økte krav til testing for å unngå at IKT-systemene svikter. 

DORA har fem hovedområder. IKT risikostyring, håndtering og rapportering av IKT-hendelser, testing av den digitale motstandsdyktigheten, risikostyring av IKT-tredjeparter og informasjonsdeling. Alle med flere lag detaljerte punkter. 

Europeiske finansinstitusjoner må følge regelverket fra 17. januar. Norske finansinstitusjoner kan vente til DORA blir en del av norsk lov i henhold til EØS-avtalen.  

IKKE COMPLIANCE, MEN KULTURENDRING 

Partner i PwC, Lars Erik Fjørtoft, sier diskusjonen om digital motstandsdyktighet har kommet opp i alle styrerom og toppledergrupper innenfor finans. 

– Bakgrunnen er at verden er blitt et utrygt sted. Vi er vant til organiserte kriminelle som holder på og bøller, men nå gjør nasjonalstater det også. Statene driver ikke lenger bare med spionasje, men til og med sabotasje i hybride krigføringer. I tillegg har finansbransjen også opplevd svikt i IKT-systemene under vanlig drift. Derfor har EU jobbet med reguleringer som skal beskytte det indre markedet og gjøre finansnæringen mer robust, sier han. 

Fjørtoft leder Risk Services i PwC i Norge, og har jobbet med DORA siden EU kom med forslaget til reguleringer. Han er med i europeiske fora for risikostyring og er prosjektleder for DORA-arbeidet i Finans Norge. 

EUs nye regelverk DORA skal beskytte det indre markedet og gjøre finansnæringen mer robust.

Partner Lars Erik Fjørtoft i PwC

Norske finansinstitusjoner er godt vant med nasjonale reguleringer som IKT-forskriften fra Finanstilsynet. Men DORA er mye mer omfattende. Der IKT-forskriften kan leses på noen minutter, krever DORA flere måneder.  

Fjørtoft advarer derfor mot at bedrifter ser på DORA som en compliance-øvelse, det vil si at man bare krysser av for dokumenter som er gjennomgått. 

– DORA er ikke compliance, men en kulturendring. Dette handler om beskyttelse av forretningsverdier. Man kan bare lykkes med digital robusthet dersom man gjør ekte vurderinger hvor både styret og ledelsen er involvert, sier han. 

MÅ HA KONTROLL PÅ IKT-LEVERANDØRENE 

Få, om noen, bransjer har like kompliserte og lange leverandørkjeden som finansbransjen. Ikke bare internt, men også i systemene som formidler finanstjenester på tvers av landegrensene. Finans er ekstremt avhengig av tredjeparter, og det er et mengde leverandører som er involvert for å levere en tjeneste. Kontraktsforholdene rundt underleverandører nedover i verdikjeden er ikke alltid godt kjent for finansforetakene. Her kommer DORA inn og detaljstyrer.  

– Dette blir en game changer. DORA stiller svært detaljerte krav, og virksomhetene må finne ut av hvor godt er godt nok i rapporteringen, hvor dypt i detaljene de må gå og hvordan de skal rapportere. Dette har vært en stor utfordring i alle DORA-prosjekter, sier Fjørtoft.  

Fjørtoft trekker frem noen eksempler på hvordan DORA vil påvirke de ansatte i finansforetak: 

– Den jevne ansatte vil få færre frihetsgrader når det gjelder å bruke skyløsninger eller andre leverandører som ikke er godkjent av IKT-avdelingen.  

– De som jobber med teknologi i virksomheten får mye tøffere krav til å bygge sikkerhet inn i utviklingsprosjekter og til å teste sikkerheten.  

– For de som inngår kontrakter blir det økte krav til hvordan de styrer og følger opp leverandører. For de som utvikler nye forretningsmodeller og nye produkter må det gjøres på en sikker og robust måte.  

– Når bedriften skal samarbeide med andre bedrifter kreves mer due diligence av samarbeidspartneren.  

– Ledergruppen må bruke mer tid på å forstå hvem som kan tenke seg å angripe foretaket og hvordan. Og de må gjøre en vurdering av om foretaket gjør nok for å beskytte seg eller om det skal brukes mer penger på sikkerheten.  

KLARE FOR DORA I MIDT-NORGE 

SpareBank 1 SMN har brukt hele 2024 på å tette gapet mellom det DORA krever og det de har hatt fra før.  

Marianne Hove Solberg, Chief Information Security Officer, sier at banken i 2023 gikk gjennom hva den allerede gjorde innenfor områder som risikostyring av IKT, håndtering av hendelser, testing og opplæring. På bakgrunn av kartleggingen la banken en plan for hvilke oppgaver som måtte løses gjennom 2024 for å oppfylle kravene i DORA. 

Alle ansatte må forstå IKT-risikoene som IKT, også de som ikke er teknologer.

Marianne Hove Solberg, SPAREBANK 1 SMN

Solberg har vært ansvarlig for arbeidet, men med seg har hun hatt ansvarlige for utkontraktering, opplæring og kompetanse, juridisk, risk, etterlevelse og IKT. 

– Det har vært et veldig tverrfaglig samarbeid for å lage styrende dokumentasjon som forklarer hvordan vi skal jobbe, gjennomgå leverandøravtaler og definere roller og ansvarsområder. Prosjektet så også på hvordan vi kunne integrere rammeverket for risikostyring som DORA krever med våre eksisterende prosesser for risikohåndtering, sier hun. 

– Er dere i mål? 

– Ja, prosjektet ble avsluttet i januar. Men dette arbeidet vil være en kontinuerlig prosess videre. Vi må gjennomføre opplæring, tester og gjennomgå avtaler. Nå lager vi et opplærings- og bevisstgjøringsløp for alle de ulike funksjonene i konsernet, også for styret og konsernledelsen. 

– Så når Finanstilsynet kommer på første tilsyn, da blir det ikke mye anmerkninger hos dere?  

– Vi er trygg på at vi har gjort en grundig jobb. Jeg føler at prosjektet vi har gjennomført, har gjort oss veldig godt rigga. Vi skal selvfølgelig fortsette å forbedre det vi allerede har. Men jeg syns vi har jobba veldig bra både i SpareBank 1 SMN og i SpareBank 1-alliansen for å være så godt forberedt som vi kan. Dette er jo helt nytt, så det er litt vanskelig å si om vi faktisk har fått med alt. For det har jo ikke vært noe tilsyn på det ennå, sier Solberg. 

Opplæring skal gjøre at alle ansatte forstår risikoene som teknologien medfører. 

– Alle jobber med teknologi, selv om man ikke er teknolog. Så det er viktig å forstå påvirkningen digital sikkerhet og risiko har på egen arbeidsoppgave, sier hun.  

ALT MÅ IKKE LAGES PÅ NYTT 

Finans Norge har forberedt sine medlemmer på det nye regelverket i DORA gjennom flere seminarer og samarbeidsarenaer. Pål Christian Waag, fagdirektør for cybersikkerhet i Finans Norge, sier medlemmene er veldig opptatt av å oppnå intensjonen i DORA for å trygge den finansielle infrastrukturen og dermed også den finansielle stabiliteten. 

– Medlemmene vårer er vant til IKT-forskriften og tidligere guidelines fra EU og har et godt utgangspunkt for arbeidet med DORA. Men detaljeringsgraden er ny. Derfor er det et omfattende arbeid å omsette kravene til hva det betyr for oss, sier Waag. 

Hans oppskrift for å lykkes med DORA er å starte med å finne ut hva foretaket har av styrende dokumenter og retningslinjer og hva DORA krever. Mye av eksisterende dokumentasjon kan brukes, alt må ikke lages på nytt. Hele organisasjonen må bidra.  

Finans Norges rolle har også vært å skape samarbeid om punkter som er felles for flere bedrifter, for eksempel om hvilke krav som skal stilles til leverandørene, både når det gjelder kontrakter og oppfølging, og eventuelt avslutning av en kontrakt. 

PROBLEMATISK PERSONVERN 

Da Finansforbundet sendte sitt svar Finansdepartementet høringsnotat om DORA i fjor vår var forbundsleder Vigdis Mathisen spesielt opptatt av hvordan de ansattes personopplysninger blir behandlet:  

«Digital Operational Resilience Act (DORA) stiller betydelige krav til blant annet testing, risikovurdering, hendelseshåndtering og overvåkning. Dette innebærer samtidig en omfattende behandling av ansattes personopplysninger. Finansdepartementet omtaler ikke konsekvensene for ansattes personvern i sitt høringssvar. Dette er problematisk.» 

FAKTA DORA 

Digital Operational Resilience Act (DORA) er et nytt regelverk for digital operasjonell motstandsdyktighet i finanssektoren. Målet er å gjøre finansforetakene i Europa bedre rustet til å stå i mot cyberangrep og andre IKT-hendelser. 

DORA bygger på fem pilarer: 

• IKT risikostyring 

• Håndtering og rapportering av IKT-hendelser 

• Testing av den digitale motstandsdyktigheten 

• Risikostyring av IKT-tredjeparter 

• Informasjonsdeling 

Regelverket er mye mer detaljert enn tidligere lover og regler for IKT-sikkerhet. 

DORA trådte i kraft i EU 17. januar 2025 og om omfatter derfor utenlandske mødre og døtre til norske finansforetak. Regelverket er ventet å bli norsk norsk lov etter EØS senere i år.