Behov for økt beredskap og informasjonssikkerhet i den finansielle sektoren
Finanssektoren er særlig et attraktivt mål for cyberkriminelle. Banker og betalingssystemer er avhengig av annen infrastruktur som strøm, tele og internett, samt leveranser fra IT-leverandører og datasentre. Når kritisk infrastruktur er mer sammenkoblet med annen infrastruktur enn før, kan en cyberhendelse også i annen infrastruktur raskt påvirke og føre til negative konsekvenser på tvers av sektorer. Skal vi sikre finansiell stabilitet, behøver vi en helhetlig sektorovergripende sikkerhetstankegang og også regelverk.
Norsk lovgivning om digital sikkerhet er fragmentarisk, men nye regelverk er på trappene
Virksomheter er underlagt sikkerhetskrav av ulik art. Det finnes ikke et norsk sektorovergripende regelverk som stiller krav til helhetlig digital sikkerhet. Enkelte deler er regulert i Sikkerhetsloven, andre deler i IKT-forskriften. Et sektorovergripende regelverk, lov om digital sikkerhet, er lagt ut på høring. Dette regelverket skal implementere NIS-direktivet i norsk rett. NIS-direktivet er et EU basert rammeverk for samfunnskritiske virksomheter og noen digitale tjenester som blir pålagt å iverksette sikkerhetstiltak og varsling ved store digitale sikkerhetshendelser. Banker og finansforetak er omfattet av regelverket. NIS-direktivet har blitt kritisert på grunn av at det gir vage forpliktelser og et snevert virkeområde. EU har av denne grunn vedtatt et oppdatert NIS-2 direktiv. Norge tar likevel nå sikte på å implementere NIS-direktivet og ikke det oppdaterte NIS-2-direktiv.
Der NIS-direktivene gjelder for kritisk infrastruktur uavhengig av sektor, har EU også nylig vedtatt en forordning for den finansielle sektor, Digital Operational Resilience Act (DORA). DORA er et sektorspesifikt regelverk for finanssektoren som stiller krav til både virksomheter som defineres som «finansielle foretak» og IKT-leverandører som yter tjenester til finansielle foretak.
Flere regelverk – hva skal virksomheter forholde seg til?
Når EU-regelverkene blir gjennomført i norsk rett, vil finansforetak i utgangspunktet være underlagt både NIS-direktivet og DORA. For å lempe den administrative byrden for finansielle virksomheter som kan være underlagt flere regelverk, presiserer DORA at finansielle virksomheter kun trenger å forholde seg til kravene i DORA og ikke NIS-2-direktivet. Det må antas at en slik tilsvarende presisering vil implementeres også i Norge, selv om vi i førsteomgang implementerer NIS-2-direktivets forgjenger. Dette stiller seg derimot annerledes for IKT-leverandører, der for eksempel skytjenesteleverandører kan bli underlagt begge regelsettene som har hver sine egne sanksjonsmekanismer. Selv om det vil ta tid før DORA blir gjennomført i norsk rett, vil norske IKT-leverandører måtte forholde seg til DORA dersom leverandøren leverer ytelser til finansielle foretak som befinner seg i Europa da regelverket er grenseoverskridende.
DORA treffer et bredt spekter av virksomheter
I DORA er finansielle virksomheter bredt definert og lister opp 21 ulike kategorier. Forpliktelsene i DORA gjelder blant annet for banker og kredittinstitusjoner, betalingsforetak, e-pengeforetak, investeringsselskap, verdipapirhandelsforetak, forvaltningsselskaper, pensjonsfond, forsikringsselskap, revisjonsselskap, handelsplasser, tilbydere av kryptovaluta, folkefinansieringstjenester, og inkassobyråer. DORA gjelder for virksomheter som typisk hører inn under Finanstilsynets tilsynsområde. Leverandører av digitale tjenester er underlagt DORA etter en risikobasert tilnærming. Et rammeverk, Oversight framework, skal utarbeides av de europeiske finanstilsynsmyndighetene og vil gjelde for leverandører av digitale tjenester som tilbyr tjenester som støtter driftskritiske og viktige funksjoner i finansielle virksomheter.
Et helhetlig og robust rammeverk
Finansielle virksomheter som er underlagt DORA må blant annet etablere rutiner for å overholde krav til helhetlig risikostyring for informasjon og kommunikasjonssystemer forankret i virksomhetens ledelse. Videre må virksomheten operasjonalisere og gjennomføre testing av IKT-systemenes motstandsdyktighet, opprette et system for klassifisering og rapportering av digitale sikkerhetshendelser, og det må etableres prosesser for overvåking og styring av IKT-leverandører. Finansielle virksomheter oppfordres til å dele informasjon om cybersårbarheter med hverandre. I tillegg angir DORA hvilke avtalevilkår som må inkluderes når finansielle virksomheter inngår avtaler med digitale tredjepartsleverandører, eksempelvis IT-drift, skytjenester, og datasenter. Jo mer kritisk en leverandør er, jo flere avtalevilkår må inntas i avtalen. Leverandører av digitale virksomheter som blir ansett som kritiske blir blant annet pålagt krav til informasjonssikkerhet, risikostyring, hendelseshåndtering og rapportering, testing og revisjoner gjennom Oversight Framework.
DORA er et lovende robust rammeverk. Det er ventet at de europeiske finanstilsynsmyndighetene skal utarbeide tekniske standarder som vil konkretisere forpliktelsene ytterligere. DORA vil også i motsetning til de sektorspesifikke EBA, EIOPA og ESMA-retningslinjene fra de europeiske finanstilsynsmyndighetene, være rettslig bindende. Manglende etterlevelse av regelverket kan bli kostbart, og brudd kan føre til administrative gebyr og tilbakekalling av konsesjon, noe som gir god grunn til å tro at selskaper som er underlagt DORA vil gjøre en betydelig innsats for å overholde forpliktelsene og iverksette sikkerhetstiltak. For finansforetak vil bøtenivå avgjøres skjønnsmessig, men IKT-leverandører kan få dagbøter i inntil 6 måneder, med en sats på 1 prosent av leverandørens daglige omsetning. DORA vil gjelde fra 17. januar 2025 i EU, mens i Norge kan man forvente at det vil ta tid før regelverket blir gjennomført.
Tre konkrete tiltak virksomheter underlag DORA kan iverksette allerede nå
Et første viktig tiltak er å få på plass en governance-struktur for arbeidet med etterlevelse av regulatoriske krav. Denne governance-strukturen kan være en videreføring av en eksisterende struktur eller opprettelsen av en ny. Det er viktig at governance-strukturen og arbeidet det skal lede er forankret i, og har fått tilstrekkelig mandat fra, virksomhetens ledelse.
Neste ledd i arbeidet må være å få en oversikt over status i virksomheten. Man må dermed foreta en gapanalyse, der en analyserer hvilke løsninger, prosesser og kontroller som allerede er implementert i virksomheten sammenholdt opp mot hvilke krav og anbefalinger som stilles gjennom DORA og evt. andre regulatoriske krav virksomheten er underlagt. Det er viktig å være klar over at det kommer mer detaljerte tekniske standarder utarbeidet av de europeiske finanstilsynsmyndighetene, teknologisk utvikling, endringer i trusselbilde, mv. vil medføre at en slik gapanalyse ikke er en statisk øvelse, men en kontinuerlig prosess.
Funn i gapanalysen danner utgangspunktet for hvordan arbeidet skal prioriteres, der virksomheten bør fokusere på en prioritering av hva som skal gjøres basert på blant annet kritikalitet og om det er elementer som kan anses som lavthengende frukt.
Det er viktig å understreke at arbeidet ikke er over når funnene fra gapene i gapanalysen er tettet. Dette er en kontinuerlig prosess, hvor governance-strukturen som etableres må løpende holde seg orientert om regelutvikling, endringer i trusselbilde mv. slik at man løpende kan iverksette adekvate tiltak ved behov.
Artikkelen er skrevet av Knut Olav Fiane og Camilla Gjersem fra Advokatfirmaet Føyen, og Martin Sværen fra Accenture.
Les artikkelen i Digi her.