DORA – Digital motståndskraft
Digital Operational Resilience Act (DORA), EU Förodning 2022/2554 träder i kraft den 17 januari 2025. Brister i efterlevnad kan resultera i sanktionsavgifter som en procentandel av verksamhetens årliga omsättning, risk för återkallande av tillstånd att bedriva verksamhet samt skadeståndsansvar.
Nedan följer Omegapoints rekommendation för en starkare digital motståndskraft och DORA-efterlevnad:
- Genomför en mognadsbedömning mot DORAs efterlevnadskrav för att identifiera brister i alla IKT-system (informations och kommunikationsteknik) och skapa en plan för åtgärder.
- Identifiera vilka av era tredjeparts IKT-leverantörer som kan anses kritiska och därmed också behöver efterleva kraven i DORA, i enlighet med artikel 31. Engagera dem i processen.
- Implementera ett hotdrivet penetrationstest-ramverk (TLPT, engelska) och genomför test minst var tredje år för att simulera verkliga cyberhot och bedöma motståndskraften för riktade attacker mot era system.
- Utveckla en incidenthanteringsplan inklusive procedurer för att identifiera, spåra, logga och klassificera IKT-relaterade incidenter. Tilldela roller och ansvar för incidenthantering och upprätta protokoll för kommunikation mellan nyckelintressenter och högre ledning.
- Upprätta och upprätthåll ett Ledningssystem för Informationssäkerhet (ISMS, engelska) för att kontinuerligt identifiera, klassificera och dokumentera IKT-verksamhetsfunktioner, informationstillgångar, roller och beroenden.
- Förstå styrelsens ansvar för att fastställa policys för informationssäkerhet, upprättande av styrningsmodell samt strategi för digital operativ motståndskraft.
Behöver ni hjälp eller rådgivning? Kontakta oss.
Text skriven av Valentin Nemirovsky, Cloud Architect