DEBATT

Finanssektoren får strengere EU-krav til IT-sikkerhet

Knut Olav Fiane og Camilla Gjersem, begge i Føyen, utdyper sammen med Martin Sværen i Accenture hvorfor norske virksomheter må være på ballen når det gjelder EUs Digital Operational Resilience Act og sette i gang med forberedelsene allerede nå.

 Det finnes ikke et helhetlig norsk regelverk som stiller krav til IKT-sikkerhet på tvers av sektorer. Lovgivningen er fragmentert, skriver  Knut Olav Fiane, partner i Føyen, Camilla Gjersem, advokatfullmektig i Føyen, og Martin Sværen, nordic security lead for Financial Services i Accenture.
Det finnes ikke et helhetlig norsk regelverk som stiller krav til IKT-sikkerhet på tvers av sektorer. Lovgivningen er fragmentert, skriver Knut Olav Fiane, partner i Føyen, Camilla Gjersem, advokatfullmektig i Føyen, og Martin Sværen, nordic security lead for Financial Services i Accenture. Foto: Nicolas Tourrenc, pressebilde
Knut Olav Fiane i Føyen, Camilla Gjerse i Føyen og Martin Sværen i Accenture
12. okt. 2023 - 14:27

I januar ble Danmarks sentralbank rammet av hackerangrep. I februar ble svenskenes Bank-ID rammet, og det samme skjedde i Norge i fjor. Eksemplene tydeliggjør det digitale trusselbildet for finansielle tjenester her i Europa. Informasjonssikkerheten må tas på alvor, og finansiell stabilitet må sikres på en helhetlig måte. Derfor skal EU lansere Digital Operational Resilience Act (DORA) i 2025.

DORA vil gjelde fra januar 2025 i EU, mens i Norge kan det ta noe lenger tid før regelverket innføres. Manglende etterlevelse vil imidlertid bli kostbart. Brudd kan føre til administrative gebyrer og tilbakekallelse av konsesjon. Virksomheter bør allerede nå begynne å forberede seg.

Fragmentert norsk lovgivning

Det finnes ikke et helhetlig norsk regelverk som stiller krav til IKT-sikkerhet på tvers av sektorer. Sikkerhetsloven beskytter mot tilsiktede handlinger, og IKT-forskriften stiller krav til risikoanalyser hos finansinstitusjoner. Ellers er lovgivningen fragmentert. Lov om digital sikkerhet er lagt ut på høring for å implementere EUs NIS-direktiv i norsk rett. EUs NIS-direktiv gjelder for samfunnskritiske virksomheter, uavhengig av sektor, og for noen IKT-leverandører som må sette i gang enkelte sikkerhetstiltak og varsle ved store digitale sikkerhetshendelser. Med DORA har EU vedtatt et sektorspesifikt regelverk for finanssektoren.

Norske organisasjoner må allerede nå tilrettelegge for konsekvensene av de nye reglene for potensielt erstatningsansvar knyttet til KI-systemer, skriver advokatene Hanna Beyer Olaussen, Henrik Monrad Stranheim Krokå og Kristian Foss.
Les også

Hvem skal betale når tenkende maskiner feiler?

DORA treffer bredt

DORA gjelder for 21 kategorier av finansielle virksomheter som typisk hører inn under Finanstilsynets område. Dette omfatter banker og kredittinstitusjoner, betalingsforetak, investeringsselskap, verdipapirhandelsforetak, forvaltningsselskaper, pensjonsfond, forsikringsselskap, revisjonsselskap, tilbydere av kryptovaluta og inkassobyråer. IKT-leverandører blir også underlagt DORA om de leverer tjenester for driftskritiske funksjoner til finanssektoren.

Et helhetlig rammeverk

DORA gjelder for finansielle virksomheter i EU og finansielle virksomheter utenfor EU som driver denne typen virksomhet i EU. Finansielle virksomheter som er underlagt DORA, må blant annet etablere rutiner for å oppfylle krav til risikostyring for informasjons- og kommunikasjonssystemer. Virksomheten må også operasjonalisere og gjennomføre testing av IKT-systemenes sikkerhet, varsle ved store sikkerhetshendelser og etablere prosesser for overvåkning og styrking av sine leverandører.

Anders Tysdal, CTO for infrastruktur i Tampnet, skriver at regjeringen bør tenke seg grundig om før de setter i gang bygging av kritisk infrastruktur til Svalbard og Jan Mayen på egen hånd, uten forutgående konkurranseutsetting, som ikke utnytter den kompetansen og markedet som er bygget opp i Norge over lang tid.
Les også

Hvem skal legge ny fiberkabel til Svalbard og Jan Mayen?

IKT-leverandører utenfor EU er også omfattet om de leverer tjenester til finansielle virksomheter i EU-landene. Leverandører av digitale virksomheter ansett som kritiske blir pålagt krav til informasjonssikkerhet, risikostyring, hendelseshåndtering og rapportering, testing og revisjon gjennom Oversight Framework.

Virksomheter underlagt DORA kan og bør starte prosessen allerede nå. Et første skritt er å opprette eller videreføre en styringsstruktur med mandat fra virksomhetens ledelse. Deretter bør man gjennomføre en GAP-analyse som vurderer hvilke løsninger, prosesser og kontroller som allerede er til stede, og så sette dem opp mot hvilke krav og anbefalinger som stilles gjennom DORA og andre regulatoriske krav.

Funn i en slik analyse vil danne utgangspunktet for hvordan man skal prioritere arbeidet. Virksomheten bør fokusere på hva som er kritisk og om det er lavthengende frukt man kan håndtere raskt. Arbeidet vil være en kontinuerlig prosess som må videreutvikles basert på regelendringer, tekniske standarder fra finansmyndigheter, teknologisk utvikling og endringer i trusselbildet.

Når DORA trer i kraft fra januar 2025 i EU, bør mange virksomheter ha iverksatt betydelige forberedelser. Selv om innføringen i Norge kan ta lenger tid, bør ikke norske virksomheter henge etter.

Oppgavene som kommer med NIS2-direktivet blir for omfattende til at én person samtidig kan bekle både rollen som informasjonssikkerhetsleder og rollen som personvernombud, skriver Marco Eggerling, global informasjonssikkerhetsleder (CISO) i Check Point Software, i denne kronikken.
Les også

Med NIS2-direktivet må noe oppgaver splittes på flere personer

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.