IKT-risikostyring

IKT-risikostyring er kerneforpligtelsen under DORA. Finansielle enheder skal etablere og vedligeholde et robust styringssystem for informations- og kommunikationsteknologirisici (IKT-risici) med klare roller, ansvar og processer fra identifikation til håndtering og genoprettelse.

Tilbage til ordbog

Hvad er IKT-risikostyring under DORA?

IKT-risikostyring handler om de processer og kontroller, der skal identificere, vurdere og håndtere risici knyttet til informations- og kommunikationssystemer. Under DORA er dette ikke valgfrit – finansielle enheder er lovmæssigt forpligtet til at have et robust og veldokumenteret IKT-risikostyringsystem.

DORA kapitel II (artikel 5–16) fastlægger de detaljerede krav til IKT-risikostyring for finansielle enheder.

DORA's krav til IKT-risikostyring

DORA stiller krav om, at finansielle enheder etablerer:

IKT-risikostyringsramme: En dokumenteret ramme med strategier, politikker, procedurer og protokoller for IKT-risici.
Identifikation: Løbende kortlægning og klassifikation af IKT-aktiver og afhængigheder.
Beskyttelse og forebyggelse: Implementering af kontroller der begrænser konsekvenser af IKT-risici.
Opdagelse: Mekanismer til at opdage unormale aktiviteter og IKT-hændelser.
Respons og genoprettelse: IKT-kontinuitetsplaner og beredskabsprocedurer.
Læring og udvikling: Post-incident analyse og løbende forbedring.
Kommunikation: Procedurer for intern og ekstern kommunikation om IKT-hændelser.

Forenklede krav for mikrovirksomheder: DORA indeholder særlige, forenklede krav til IKT-risikostyring for finansielle mikrovirksomheder (under 10 ansatte og under 2 mio. EUR i omsætning). De grundlæggende krav er dog de samme.

Ledelsens rolle

Under DORA har ledelsesorganet (bestyrelse og direktion) et direkte ansvar for IKT-risikostyring. Ledelsen skal:

Fastlægge og godkende IKT-risikostyringsstrategien.
Sætte den overordnede risikotolerance for IKT-risici.
Godkende IKT-revisionsplaner og opfølgningsplaner.
Løbende overvåge og evaluere IKT-risikostyringsrammens effektivitet.
Afsætte tilstrækkelige ressourcer til IKT-sikkerhed.

Ofte stillede spørgsmål om ikt-risikostyring

Hvad er forskellen på IKT-risikostyring under DORA og NIS2?

DORA og NIS2 deler mange principper om risikostyring, men DORA er specifikt tilpasset finanssektorens kompleksitet og krav. DORA er mere detaljeret og specificerer bl.a. præcise krav til IKT-kontinuitetsplaner, testning (TLPT) og tredjepartsstyring. For finansielle enheder underlagt begge regelsæt er DORA's krav generelt lex specialis.

Kræver DORA en separat IKT-risikofunktion?

DORA kræver, at finansielle enheder tildeler IKT-risikostyringsansvaret til en relevant kontrolfunktion og sikrer tilstrækkelig uafhængighed af forretningstjenesterne. For store og systemisk vigtige institutioner kan dette betyde en dedikeret IKT-risikofunktion.

Hvad skal IKT-risikostyringsrammen indeholde?

Rammen skal omfatte strategier, politikker, procedurer og protokoller, der dækker alle aspekter af IKT-risiko, herunder aktividentifikation, beskyttelsesforanstaltninger, detektionsmekanismer, hændelsesrespons, genopretningsprocedurer og løbende forbedringsprocesser.

Hvordan håndterer DORA proportionalitet i IKT-risikostyring?

DORA anvender et proportionalitetsprincip, hvilket betyder, at kravene skaleres i forhold til enhedens størrelse, risikoprofil og tjenesternes art, omfang og kompleksitet. Mikrovirksomheder nyder godt af forenklede krav, men de grundlæggende forpligtelser består.

Skal IKT-risikostyring gennemgås regelmæssigt?

Ja. DORA kræver, at finansielle enheder gennemgår og opdaterer deres IKT-risikostyringsramme mindst én gang årligt og efter væsentlige IKT-hændelser eller ændringer. Ledelsesorganet skal informeres om resultaterne og eventuelle nødvendige forbedringer.