DORA – Hver er ábyrgð stjórnar
DORA fjallar um stýringu á hættu/áhættum sem tengjast stafrænni þjónustu fyrirtækja á fjármálamarkaði. Tryggja þarf öryggi net- og upplýsingakerfa sem styðja við nauðsynlega og mikilvæga starfsemi og/eða þjónustu.
Hættur eru alltaf til staðar og yfirleitt erfitt að uppræta eða koma í veg fyrir þær. Ef hætta raungerist getur það haft margvíslegar afleiðingar. Mat á alvarleika og líkindum afleiðinga segir síðan til um áhættuna sem afleiðingin skapar og aðstoðar við að forgangsraða aðgerðum.
Stýring áhættu felst í að draga úr líkindum eða alvarleika afleiðingar.
Fjallað er ítarlega um ábyrgð og verkefni stjórnar (Management body) í DORA.
Ábyrgð og verkefni
Stjórn fjármálafyrirtækja ber endanlega ábyrgð á að stýra áhættu vegna upplýsinga- og fjarskiptatækni (ICT = Information and Communication Technology) til að tryggja rekstrarlegan viðnámsþrótt.
Til að stýra þessari áhættu þarf stjórn að koma á viðeigandi stýringum. Hér er um að ræða að ræða hefðbundið Plan-Do-Check-Act stjórnunarkerfi, það er að setja þarf stefnu og markmið, útbúa aðferðir við að framfylgja stefnu og vakta markmið, rýna frammistöðu og bregðast við sé hún ófullnægjandi.
Helstu verkefni stjórnar skv. DORA felast í að
Plan
· Samþykkja stefnu og áætlanir um viðnámsþrótt
· Ákveða þolmörk vegna áhættu
· Útvega auðlindir
· Tilgreina ábyrgð og hlutverk
· Samþykkja áætlanir um innri úttektir
Do
· Tryggja að til staðar séu viðeigandi aðferðir og/eða ferlar fyrir áhættugreiningu, tilkynningar, innri og ytri samskipti, breytingastjórnun, birgjastýringu, vöktun, úttektir, prófanir, hæfniáætlanir, viðbragðs- og endurreisnaráætlanir
Check
· Rýna frammistöðu
Act
· Endurskoða stefnu, áætlanir, aðferðir/ferla
Kröfur reglugerða og tilskipana um hæfni og þekkingu er yfirleitt beint að starfsmönnum og daglegum stjórnendum en fyrir DORA þarf einnig að huga að stjórnarmönnum. Gerð er krafa um að stjórnarmenn búi yfir og viðhaldi þekkingu og hæfni sem þarf til að skilja áhrif og umfang áhættu í upplýsinga- og fjarskiptatækni.
Hægt er að nýta leiðbeiningar í ISO 27001 til að útbúa grind að stjórnunarkerfi en gæta þarf að því að kröfur DORA eru fleiri og mikið ítarlegri á mörgum sviðum. Þetta á við t.d.hvað varðar tilkynningar, prófanir, ramma fyrir áhættustýringu, stýringar á birgjum sem veita upplýsinga- og fjarskiptatækniþjónustu, upplýsingagjöf, sektarákvæði og fleira.
Sérfræðingar Gott og gilt eru reiðubúnir að veita góð ráð til fyrirtækja á fjármálamarkaði í þessum efnum.
Hildur Hannesdóttir (hildur@gottoggilt.is)