DORA – Áhættustýring
DORA (Evrópureglugerð 2022/2554) fjallar um stýringu á hættu/áhættum sem tengjast stafrænni þjónustu fyrirtækja á fjármálamarkaði. Tryggja þarf öryggi net- og upplýsingakerfa sem styðja við nauðsynlega og mikilvæga starfsemi og/eða þjónustu.
Áhættustýring er kjarni DORA og forsenda þess að fjármálamarkaður geti tryggt viðunandi viðnámsþrótt gagnvart netógnum.
Nánast öll fjármálaþjónusta er orðin stafræn og mikil samtenging er á milli aðila á fjármálamarkaði. Nauðsynlegt er fyrir samfellu og áreiðanleika í þjónustu að viðeigandi áhættustýringu sé komið á og henni viðhaldið.
Skjalfesta þarf hvernig hættum og áhættum er stýrt. Fyrir áhættustýringu þarf að
· afmarka umfang og samhengi viðfangsefnis
· greina hættur sem varða hið afmarkaða viðfangsefni
· auðkenna líklegar afleiðingar hættu
· meta áhrif afleiðinga þ.e. hversu alvarlegar eða líklegar þær eru
· móta aðgerðir sem ætlað er að koma í veg fyrir eða milda áhrif afleiðinga
Setja þarf fram markmið sem segja til um hversu vel gengur að stýra áhættu og frammistaða áhættustýringar er síðan vöktuð og borin saman við þessi markmið.
Áhættustýringarrammi
Í DORA eru kröfur um ramma fyrir áhættustýringu (Plan-Do-Check-Act).
Setja skal fram stefnuáætlun, skjalfesta reglur, viðmið og verklag fyrir áhættustýringu, vakta og rýna frammistöðu og bregðast við sé hún ófullnægjandi.
Plan
· Skilgreining á umfangi áhættustýringar
· Gerð og innleiðing stefnuáætlunar sem styður við viðskiptaáætlun
o Stefna, markmið, aðgerðir og mælingar
· Ákvörðun og greining þolmarka vegna áhættu sem eru í samræmi við áhættuvilja og rekstrarmarkmið
· Skilgreining hlutverka og ábyrgðar
· Sjálfstæði og aðskilnaður mismunandi hlutverka/eininga vegna upplýsinga- og fjarskiptatækniáhættu er tilgreint og tryggt
o Dagleg stjórnun (eftirlitseining), auðkenning og vöktun (áhættustýringareining), innri úttektir og innri prófanir
· Innri úttektaráætlun
Do
· Auðkenning hættu/ógna, áhættumat, áhættugreining breytinga, innleiðing forvarnaráðstafana og aðferða til að vakta búnað og kerfi, húsnæði og ytri þjónustuaðila, aðgangsheimildir, viðbragðs-, endurreisnar- og samskiptaáætlanir vegna atvika, tilkynningaferli
Check
· Árlegar innri og/eða ytri prófanir, innri úttektir, rýni
Act
· Tilkynning og meðhöndlun atvika í samræmi við verklag, úrbætur í kjölfar innri úttekta og prófana, endurskoðun áhættustýringarramma, reglulega og eftir þörfum (atvik, prófanir, fyrirmæli)
Hætta og áhætta
Í DORA er ekki gerður skýr greinarmunur á hættu og áhættu en hugtökin ógnir og veikleiki eru notuð í DORA fyrir hættur.
Hættur eru alltaf til staðar og yfirleitt erfitt að uppræta eða koma í veg fyrir þær. Ef hætta raungerist getur það haft margvíslegar afleiðingar. Mat á alvarleika og líkindum afleiðinga segir síðan til um áhættuna sem afleiðingin skapar og aðstoðar við að forgangsraða aðgerðum.
Stýring áhættu felst í að draga úr líkindum eða alvarleika afleiðingar.
Hættur sem eru alltaf til staðar í net- og upplýsingatækni eru t.d. netárásir, DDos árásir, netfölsun (phishing), bilun, hugbúnaðargalli og mannleg mistök. Afleiðingar geta verið minniháttar truflun á starfsemi, gagnaleki, gagnatap, brot á persónuvernd, fjárhagslegt tjón o.s.frv.
Aðferðir til að draga úr alvarleika eða líkum afleiðinga geta falist í tvíþættri auðkenningu, öryggisafritunum, samskiptareglum, aðgangsstýringum, þjálfun, dulkóðun, eldveggjum, innbrotsvörnum og kerfisvöktun.
Leiðbeiningar í ISO 27001 og ISO 31000 nýtast að hluta til að útbúa ferli fyrir áhættumat. Skjalfesting áhættustýringarramma þarf að vinna út frá kröfum DORA sem eru fleiri og ítarlegri á mörgum sviðum t.d. hvað varðar kortlagningu eigna, prófanir, birgjastýringu, breytingastjórnun og skrásetningar.
Sérfræðingar Gott og gilt eru reiðubúnir að veita góð ráð til fyrirtækja á fjármálamarkaði í þessum efnum.
Hildur Hannesdóttir (hildur@gottoggilt.is)