Digital operationel robusthed

Digital operationel robusthed er det centrale begreb i DORA. Det dækker en finansiel enheds evne til at opbygge, sikre og opretholde sin driftsmæssige integritet ved at anvende IKT-kapaciteter til at forebygge, modstå, reagere på og komme sig over alle IKT-relaterede forstyrrelser og trusler.

Tilbage til ordbog

Definition og formål

Digital operationel robusthed er defineret i artikel 3, stk. 1 i DORA (forordning (EU) 2022/2554) som en finansiel enheds evne til at opbygge, sikre og gennemgå sin teknologiske og operationelle integritet. Begrebet rækker ud over traditionel forretningskontinuitet ved at kræve, at organisationer demonstrerer end-to-end-robusthed på tværs af hele deres IKT-landskab.

Formålet er at sikre, at den finansielle sektor kan fortsætte med at fungere pålideligt selv i tilfælde af alvorlige IKT-forstyrrelser, cyberangreb eller systemiske fejl hos tredjepartsleverandører. Dette beskytter ikke kun den enkelte enhed, men stabiliteten i det finansielle system som helhed.

Robusthedsdimensionerne

DORA strukturerer digital operationel robusthed omkring flere sammenhængende dimensioner:

Forebyggelse: Implementering af robuste rammer for IKT-risikostyring, sikkerhedspolitikker og beskyttelsesforanstaltninger for at reducere sandsynligheden for, at hændelser opstår.
Opdagelse: Etablering af mekanismer til hurtigt at identificere anomalier, sårbarheder og IKT-relaterede hændelser, før de eskalerer.
Respons: Vedligeholdelse af procedurer for hændelsesrespons og krisestyring for hurtigt at inddæmme forstyrrelser og minimere deres indvirkning.
Genoprettelse: Sikring af evnen til at genoprette IKT-systemer og data til normal drift efter en forstyrrelse, herunder gennem testede backup- og gendannelsesprocedurer.
Testning: Gennemførelse af regelmæssige robusthedstests, herunder trusselsstyret penetrationstest (TLPT) for betydelige enheder, for at validere, at beskyttelsesforanstaltninger fungerer i praksis.
Tredjepartsstyring: Styring og overvågning af IKT-risici, der opstår fra afhængighed af tredjepartsleverandører, herunder kritiske cloud- og infrastrukturudbydere.

Hvorfor robusthed er centralt i DORA

Den finansielle sektors stigende afhængighed af IKT-systemer og tredjepartsleverandører betyder, at et enkelt fejlpunkt kan have kaskadeeffekter på tværs af hele det finansielle system. DORA anerkender, at det er umuligt at forebygge enhver hændelse; det afgørende er evnen til at absorbere, tilpasse sig og komme sig.

Digital operationel robusthed er derfor ikke et statisk compliance-krav, men en kontinuerlig kapacitet, der skal opbygges, testes og forbedres over tid. Den hænger direkte sammen med IKT-risikostyring, hændelsesrapportering og tilsyn med kritiske tredjepartsleverandører.

Proportionalitetsprincippet: DORA anvender proportionalitetsprincippet: omfanget af robusthedsforanstaltninger skal stå i forhold til enhedens størrelse, risikoprofil og arten, omfanget og kompleksiteten af dens tjenester. Mindre enheder forventes ikke at implementere de samme foranstaltninger som systemisk vigtige institutioner.

Ofte stillede spørgsmål om digital operationel robusthed

Hvad er digital operationel robusthed?

Digital operationel robusthed er en finansiel enheds evne til at opbygge, sikre og opretholde sin driftsmæssige integritet ved at anvende IKT-kapaciteter til at forebygge, modstå, reagere på og komme sig over alle IKT-relaterede forstyrrelser og trusler. Det er det centrale begreb i DORA.

Hvordan definerer DORA digital operationel robusthed?

DORA artikel 3, stk. 1 definerer det som en finansiel enheds evne til at opbygge, sikre og gennemgå sin teknologiske og operationelle integritet, der sikrer den fulde række af IKT-relaterede kapaciteter, der er nødvendige for at adressere sikkerheden af net- og informationssystemer.

Hvad er de vigtigste dimensioner af digital operationel robusthed?

DORA strukturerer robusthed omkring forebyggelse, opdagelse, respons, genoprettelse, testning og tredjepartsstyring. Tilsammen sikrer disse dimensioner, at finansielle enheder kan modstå og komme sig over IKT-forstyrrelser.

Kræver DORA de samme robusthedsforanstaltninger for alle finansielle enheder?

Nej. DORA anvender et proportionalitetsprincip, hvilket betyder, at omfanget af robusthedsforanstaltninger skal stå i forhold til enhedens størrelse, risikoprofil og arten og kompleksiteten af dens tjenester.

Hvordan adskiller digital operationel robusthed sig fra traditionel forretningskontinuitet?

Traditionel forretningskontinuitet fokuserer på at opretholde driften under forstyrrelser. Digital operationel robusthed går videre ved at kræve end-to-end IKT-robusthed, herunder proaktiv risikostyring, regelmæssig testning, hændelsesrapportering og tilsyn med IKT-tredjepartsleverandører.