Måste rapporteras inom 24 timmar
Monica Verma är en erkänd teknik- och säkerhetsledare, certifierad Qualified Technology Expert (QTE), med cirka 20 års erfarenhet inom teknikbranschen och cybersäkerhet. Hon har framför allt arbetat inom sektorer med de strängaste kraven och förordningarna, t.ex. bank, finans och hälsovård. Hon är därför väl förtrogen med vad som behöver göras när nya direktiv införs.
"NIS2 och DORA har ett tydligt fokus på de säkerhetsåtgärder som måste finnas på plats, riskhantering och hur man rapporterar till myndigheterna i händelse av ett säkerhetsintrång", säger hon.
För NIS2 måste rapportering ske inom 24 timmar efter att ett intrång/angrepp har upptäckts. För DORA är rapporteringskraven ännu inte kända. Om attacken resulterar i obehörig tillgång till känsliga personuppgifter gäller reglerna för GDPR och den danska dataskyddsmyndigheten måste involveras.
"Storleken på böterna för brott mot NIS2 kommer att motsvara GDPR, dvs. upp till två procent av företagets globala omsättning. För DORA har detta inte beslutats ännu", säger Verma.
"På många sätt är DORA och NIS2 för cybersäkerhet vad GDPR är för skydd av personuppgifter"
Det är högsta ledningens ansvar
Monica Verma säger att riskhantering är ett ansvar för högsta ledningen. Det är något som bank- och finanssektorn redan är bra på. Med NIS2 och DORA är det ännu viktigare att se till att detta ansvar är både välkänt och implementerat av den högsta ledningen i organisationen.
- DORA och NIS2 kräver att den högsta ledningen bevisar att riskerna har hanterats grundligt. De måste kunna visa att tillräckligt med tid och resurser har avsatts och att beredskapsplaner finns på plats. "Att göra det här jobbet grundligt innebär att fler förstår vilken risk de utsätts för och prioriterar säkerhetsåtgärder", säger hon.
För att lösa uppgiften behövs ramverk för riskhantering som är anpassade till företag med kritisk infrastruktur.
"Jag rekommenderar att mina kunder kartlägger olika riskscenarier och bedömer dessa mot hur hoten påverkar verksamheten", säger hon. "Förutom affärspåverkan blir hotbildsbedömningar en oerhört viktig del av ramverket för riskhantering.
Hur robust är din bank?
När man bedömer hot är det viktigt att tänka på varifrån hoten kan komma. Om du tillhör en stor organisation eller ett offentligt organ kan attacken riktas från en främmande stat. Annars är alla företag i alla storlekar potentiella mål, från professionella brottslingar som ständigt letar efter möjliga säkerhetshål till unga människor som inte vet bättre - som lätt kan hitta recept på nätet om hur man utför digitala attacker.
I fallet med DORA läggs särskild vikt vid bank- och finanssektorns motståndskraft mot digitala attacker. TIBER-EU-ramverket kommer också att spela in här. Det har utvecklats av Europeiska centralbanken för att testa finansinstitutens förmåga att upptäcka och förhindra digitala attacker. Lika viktigt är kravet på att denna sektor ska dela relevant hot- och säkerhetsinformation mellan sig i nätverk.
"Det är viktigt att veta hur banken snabbt kan återhämta sig från en attack och vilka åtgärder som har vidtagits för att säkerställa att infrastrukturen med alla transaktioner inte går ner. Om något sådant här skulle hända skulle förlusterna uppgå till många miljarder kronor. Det är därför DORA kräver att bankerna testar sin robusthet", säger hon.
Du måste ha kontroll över hela din värdekedja
Därför måste man också vara särskilt medveten om säkerheten hos sina leverantörer, där banker under DORA är ansvariga för säkerheten hos sina leverantörer. Brottslingar kan ofta finna det lättare att attackera via leverantörer som inte har samma stränga säkerhetsmekanismer.
- Cyberbrottslingar kommer att försöka få tillgång till banken via tredje part, till exempel tjänsteleverantörer i försörjningskedjan. Om dessa leverantörer ska kunna fortsätta att leverera till bank- och finansbranschen måste de bevisa att de uppfyller alla regler i DORA. Vi håller på att införa detta på Orange Business", säger Verma.
Säkerhet håller därför på att bli en viktig konkurrensfördel i upphandlingar, där potentiella leverantörer måste dokumentera sina rutiner och mekanismer kring säkerhet om de ska kunna leverera till organisationer som måste följa DORA och NIS2.
Verma menar att förutsättningen för att uppfylla kraven är att börja med att förstå sin egen säkerhetssituation idag och göra en gapanalys mot kraven i direktivet.
Har du din plan klar?
Kom ihåg att banker och andra företag lever på sina kunders förtroende.
"Det är viktigt att inkludera ledningen så att de förstår vad som kommer att hända. De måste förstå att de nya reglerna är en mycket effektiv försäkring mot några av de värsta saker som kan hända ditt företag."
När du har analysen på plats är det viktigt att inse att du inte kan göra allt på en gång och det handlar om att ha en förankrad framstegsplan. Vad behöver göras? Av vem? Vilka resurser behöver du? Vem är lämplig att hjälpa dig? Vad är prislappen på projektet?
- Gör jobbet i faser. Ta de risker som är störst eller enklast att åtgärda först. Kom ihåg att banker och andra företag lever på sina kunders förtroende. DORA och NIS2 handlar om att skapa trygghet och god säkerhet är därför en konkurrensfördel.
Hon betonar att Orange Business erbjuder både rådgivning för att hjälpa kunderna att uppfylla de strikta reglerna, och de faktiska tjänsterna som uppfyller kraven när de införs.
För de flesta inom bank och finans kommer DORA att vara ett naturligt nästa steg med investeringar för att öka mognaden och robustheten i finanssektorn. "Många har redan hög kompetens inom dessa områden och är bra på att hantera risker, men en del kommer förmodligen att behöva hjälp med att testa hur robusta och motståndskraftiga de verkligen är", avslutar hon.
Medverkande
Monica Verma
Monica Verma är en renommerad cybersäkerhetsexpert med cirka 20 års erfarenhet, särskilt inom bank-, finans- och hälso- och sjukvårdssektorn. Hon är en efterfrågad huvudtalare, berättare och certifierad kvalificerad teknikexpert (QTE). Monica är grundare och VD för Cyber Foyer och MonicaTalksCyber, med djup expertis inom säkerhet, reglering och ledarskap.