Dora handlar om att skapa en intern motståndskraft och lyfta digital risk till en högre nivå. Många företag avvaktar dock med att komma igång då de tänker att Dora inte kommer att drabba dem förrän långt fram i tiden. Men mycket behöver vara på plats, och det är viktigt att se över riskerna i tid och säkerställa att man har ett systematiskt säkerhetsarbete på plats.
Finansiella aktörer som varit väl reglerade tidigare ligger ofta längre fram i processen och har enklare att ta till sig Dora – andra företag har en längre väg att gå. För att du som CISO ska ha enklare att komma igång, delar tre experter här med sig av sina bästa tips.
Intervjuade experter:
Pernilla Rönn, Vice VD och senior rådgivare, Seadot Cybersecurity
Magnus Lindkvist, Cyber Security Advisory, PwC
Thomas Baasnes, Cyber Security Director, Verdane
Vad behöver jag som CISO göra konkret gällande Dora nu?
Magnus: Om du tror eller vet att du kommer att påverkas behöver du kroka arm med någon. Det här ska inte vara en CISO:s ensamprojekt, utan du bör exempelvis kroka arm med riskchefen eller andra roller inom bolaget. Känner du att du sitter med det här själv kommer det att bli en jobbig resa. Vi behöver jobba mer som ett team framöver. Det går inte längre att delegera ner frågorna till en CISO, utan måste förstås i hela kedjan uppåt.
De flesta företag som påverkas av Dora har redan gjort det här arbetet till viss mån, men nu måste vi tänka på hur vi blir mer resilienta och jobbar på samma sätt över hela EU. Det kommer så klart se olika ut för olika organisationer, men fundera på vad som kan göras annorlunda framöver för att få god insyn i de områden du inte har koll på idag.
Räcker det med att vara certifierad enligt ISO 27001?
Pernilla: Det räcker inte, men man får med mycket på köpet om man har certifikatet. Sen tillkommer nya moment i och med Dora, exempelvis säkerhetstester på en annan nivå än vad man är van vid via ISO 27001. Det är också ett annat fokus på tredjepartsrisk där man ser till hela livscykelperspektivet. Om man jämför med andra regelverk, trycker man i Dora inte bara på faktiska incidenter, utan på tester och övningar. Sen tillkommer nya moment med rapportering till tillsynsmyndigheter och man ska ha ett informationsregister på plats och vara redo för den tillsyn som kommer på olika sätt.
Börja med att bilda dig en uppfattning om var du står idag gentemot kravbilden i Dora. Gör en tolkning av kraven och en GAP-analys för att ta reda på ditt nuläge så du vet var du ska börja och vad du har framför dig. Kartlägg också dina kritiska funktioner då det är utgångspunkten för mycket annat. Det gäller också att verkligen förstå begreppen och definitionerna i Dora, omsätta dessa till din verksamhet, och skapa en gemensam bild.
Som finansbolag, hur tittar ni på Dora i er verksamhet?
Thomas: Vi jobbar mycket med att kartlägga våra system och tredjeparter. Det är också viktigt att tidigt ställa tuffare krav innan inköp av nya system eller avtal med en IT-leverantör. Kontrakten varar i regel i flera år och säkerhetskraven måste vara inkluderade. Dora funkar mycket bra med riskstyrning, så om du är ISO-certifierad har du en bra grund för den biten av Dora. Via riskstyrning ska du komma fram till vilka kontroller du ska implementera. Men många har varit dåliga på att se så dessa kontroller verkligen fungerar. Det har Dora ett bra ramverk för genom sårbarhetsskanning och penetrationstester. Du vill inte investera i kontroller som inte fungerar, det är bara bortkastade pengar.
Mindre företag har ofta rätt bra kontroller, men själva riskstyrningen finns kanske inte på plats. Vi försöker få till detta genom att involvera styrelsemedlemmar och få dem att prioritera detta. Kartlägg först vad ni gör inom riskstyrning, riskstyrning av tredjeparter, incident response reporting och resilience testing idag. Testa sedan, och använd dina resultat i riskvärderingen. Testning måste inte vara en stor, komplex grej. Börja inte den traditionella vägen med riskvärdering först. Det kan vara lättare för mindre bolag att få kontroll och ett bättre underlag för sin riskvärdering.
Då Dora gäller finanssektorn kommer väl kommuner, myndigheter och regioner undan?
Pernilla: Dora är inte direkt tillämpbar på regioner och kommuner. Men det arbetssätt som man kravställer inom Dora är väldigt fördelaktigt och höjer motståndskraften i alla verksamheter. Övningar och tester är värdefulla och lärorika, och resultaten kan användas i det proaktiva riskhanteringsarbetet. Det gynnar alla att tänka i de här banorna. Många vet inte vad som är det kritiska och viktiga. Landa i det först och låt det prioritera och styra hur du utformar riskhanteringen.
Thomas: Finansbranschen är i regel mer reglerad, och kommer påverka andra bolag även om bolagen inte träffas direkt av Dora. Väldigt många kommer alltså att träffas indirekt av Dora, exempelvis de som levererar tjänster till finansbranschen. De kommer ju också ha krav på sig som tredjepartsleverantör.
Vad är era främsta råd till CISO:s framåt?
Pernilla: Ta chansen till att öka motståndskraften och lyfta er cybersäkerhetshygien. Tänk inte på frågan enbart ut ett compliance-perspektiv. Se till att det du gör kopplat till Dora inkluderas i ditt dagliga, systematiska informationssäkerhetsarbete så att det inte blir två separata spår kring compliance och säkerhet.
Thomas: Etablera säkerhetskrav till tredjepartsleverantörer då det tar tid. För exempelvis existerande kontrakt som går ut om säg tre år, då är det tre år tills du kan få till dessa säkerhetskrav. Det behöver du sätta igång med direkt.
Magnus: Du har bra kontroll på dina finansiella siffror idag, en finansiell revision och bra koll på ESG och CSRD-frågor. Känner du inte att dina cybersäkerhetsfrågor har samma dignitet och samma stöd i förhållande till Dora eller NIS2, så ta hjälp.
Den här texten baseras på den paneldebatt om Dora som var en del av vårt webbinarium om cybersäkerhet, den 16 november 2023. Webbinariet innehåller även spännande samtal om bland annat dataskydd och NIS2. Se hela webbinariet här.
