Tekniska ämnen

Vad är DORA-lagen (Digital Operational Resilience Act)?

Översikt

Digital Operational Resilience Act (DORA) är en omfattande EU-förordning som syftar till att stärka den digitala operativa motståndskraften i finanssektorn. Genom DORA, som träder i kraft i januari 2023, inrättas ett enhetligt ramverk för finansinstitutens hantering av risker med informations- och kommunikationsteknik (IKT), incidentrapportering och relationer med tredjepartsleverantörer. Denna banbrytande lagstiftning är EU:s svar på den ökande digitaliseringen av finansiella tjänster och behovet av robusta cybersäkerhetsåtgärder.

Se hur dina CMDB-, ITSM- (IT Service Management) och observability-lösningar kan bidra till efterlevnad av DORA.

Läs vitboken

Lagen om digital operativ motståndskraft

Förståelse för DORA:s omfattning och tillämpning

DORA gäller för ett brett spektrum av finansiella enheter som är verksamma inom Europeiska unionen. Banker och kreditinstitut, både traditionella och digitala, utgör kärnan i de reglerade enheterna. Men DORA:s tillämpningsområde är långtgående och sträcker sig bortom traditionella bank- och kreditinstitut och omfattar även

Betalningsinstitut, inklusive betalningsinstitut som är undantagna enligt direktiv (EU) 2015/2366
Leverantörer av kontoinformationstjänster
Institut för elektroniska pengar, inklusive institut för elektroniska pengar som är undantagna enligt direktiv 2009/110/EG
Värdepappersföretag
Leverantörer av kryptotillgångstjänster som auktoriserats enligt Europaparlamentets och rådets förordning om marknader för kryptotillgångar och om ändring av förordningarna (EU) nr 1093/2010 och (EU) nr 1095/2010 samt direktiven 2013/36/EU och (EU) 2019/1937 ("förordningen om marknader för kryptotillgångar") och emittenter av tillgångsrefererade tokens
Centrala värdepappersförvarare
Centrala motparter
Handelsplatser
Handelsregister
Förvaltare av alternativa investeringsfonder
Förvaltningsbolag
Leverantörer av datarapporteringstjänster
Försäkrings- och återförsäkringsföretag
Försäkringsförmedlare, återförsäkringsförmedlare och försäkringsförmedlare som bedriver förmedling av tilläggsförsäkringar
Institutioner för tjänstepensioner
Kreditvärderingsinstitut
Administratörer av kritiska riktmärken
Leverantörer av crowdfunding-tjänster
Värdepapperiseringsregister
Tredjepartsleverantörer av ICT-tjänster

Vilka är de viktigaste komponenterna i efterlevnaden av DORA?

Riskhantering inom ICT

Finansiella enheter måste införa omfattande ramverk för hantering av IKT-risker som omfattar flera lager av säkerhet och tillsyn. Dessa ramverk kräver detaljerade strategier och policyer som specifikt tar upp digital motståndskraft, inklusive konkreta åtgärder för att förebygga och hantera cyberhot. Organisationer måste genomföra regelbundna riskbedömningar som identifierar både nuvarande och nya sårbarheter i hela deras digitala infrastruktur.

Säkerhetsåtgärderna måste omfatta sofistikerade åtkomstkontroller som hanterar användarprivilegier och upprätthåller dataintegritet, tillsammans med toppmoderna krypteringsprotokoll för att skydda känslig finansiell information. Ramverket kräver kontinuerliga övervakningssystem som ger insikter i realtid om potentiella säkerhetshot och systemets prestanda. Tydliga styrningsstrukturer måste etableras, med specifika roller och ansvarsområden för att säkerställa ansvarsskyldighet i riskhanteringsförfaranden.

Hantering och rapportering av incidenter

DORA föreskriver sofistikerade förfaranden för incidenthantering och rapportering som går utöver grundläggande cybersäkerhetsprotokoll. Organisationer måste utveckla och upprätthålla robusta detekteringssystem som kan identifiera både uppenbara och subtila IKT-relaterade incidenter. Detta krav omfattar implementering av flerskiktade klassificeringssystem som korrekt bedömer incidentens allvarlighetsgrad baserat på fördefinierade kriterier och potentiell inverkan på den finansiella verksamheten.

Detaljerade incidentloggar måste upprätthållas med omfattande dokumentation av svarsförfaranden, lösningssteg och resultatanalyser. Större incidenter kräver omedelbar rapportering till berörda myndigheter via etablerade kanaler, med specifika tidsramar för första anmälan och uppföljningsrapporter. Organisationer måste utveckla och regelbundet uppdatera kommunikationsplaner som riktar sig till olika intressentgrupper, inklusive kunder, partners, tillsynsorgan och media vid behov.

Test av digital operativ motståndskraft

DORA kräver systematisk testning av digital motståndskraft med hjälp av flera olika metoder. Sårbarhetsbedömningar måste genomföras regelbundet med hjälp av avancerade testverktyg och metoder för att identifiera potentiella svagheter i IKT-system. Oberoende parter måste utföra penetrationstester för att säkerställa en opartisk utvärdering av säkerhetsåtgärder och identifiera potentiella intrångspunkter. Scenariobaserade tester bör simulera verkliga cyberhot och driftsstörningar för att utvärdera svarsförmågan och systemets motståndskraft.

Regelbunden validering av säkerhetsåtgärder måste utföras för att säkerställa att de fortsätter att vara effektiva mot hot som utvecklas. Alla testaktiviteter kräver detaljerad dokumentation, inklusive metoder som använts, resultat och åtgärder som vidtagits.

Riskhantering för tredje part

DORA betonar omfattande hantering av relationer med leverantörer av ICT-tjänster genom strukturerad tillsyn och dokumentation. Organisationer måste genomföra grundliga riskbedömningar av tredjepartsleverantörer och utvärdera deras tekniska kapacitet, säkerhetsåtgärder och planer för kontinuitet i verksamheten. Tjänsteavtal måste granskas regelbundet för att säkerställa att de är i linje med gällande lagkrav och operativa behov.

Organisationer måste upprätthålla ett detaljerat leverantörsregister som dokumenterar alla kritiska och icke-kritiska servicearrangemang, inklusive specifika tjänster som tillhandahålls, datatillgångsnivåer och säkerhetsåtgärder på plats. Kritiska tjänstearrangemang måste rapporteras till tillsynsmyndigheter, med uppdateringar för betydande förändringar. Avtalsförpliktelser måste uttryckligen ta upp efterlevnadskrav, inklusive säkerhetsåtgärder, incidentrapportering och revisionsrättigheter.

Hur hjälper OpenText IT Operations-lösningar till med efterlevnaden av DORA?

OpenText IT Operations-lösningar hjälper finansinstitut att uppnå och upprätthålla DORA-efterlevnad genom teknikplattformar som uppfyller viktiga lagstadgade krav.

OpenText™ Universal Discovery and CMDB utgör grunden för DORA-efterlevnad genom att ge djup insyn i en organisations ICT-infrastruktur. Med både agentlösa och agentbaserade identifieringsfunktioner skapar denna lösning en omfattande bild av IT-miljöer, inklusive enheter som är anslutna via säkra VPN eller intermittenta internetanslutningar. Den utför händelsebaserade uppdateringar av multicloud-miljöer, vilket säkerställer att finansinstitut upprätthåller en korrekt bild i realtid av hela sin infrastruktur, både lokalt och i molnet. Dess funktioner för tjänstekartläggning gör det möjligt för organisationer att före implementeringen förutse hur förändringar kan påverka kritiska finansiella tjänster - vilket direkt uppfyller DORA:s krav på riskhantering och operativ motståndskraft.

OpenText™ Service Management integrerar viktiga funktioner för ITSM och hantering av IT-tillgångar för att skapa ett tydligt ägande och hantering av tjänster, applikationer och stödjande IT-utrustning. Lösningen innehåller ITIL-certifierade mallar för bästa praxis som täcker incident-, problem-, förändrings-, release- och konfigurationshantering - alla viktiga delar för efterlevnad av DORA. Dessa mallar hjälper organisationer att etablera automatiserade svarskedjor som minimerar serviceavbrott och säkerställer konsekvent hantering av IKT-relaterade incidenter, vilket uppfyller DORA:s krav på incidenthantering och rapportering.

OpenText™ Core Infrastructure Observability tillgodoser DORA:s övervakningskrav genom att ge end-to-end-synlighet för multicloud och lokala resurser. AI-driven anomalidetektering gör det möjligt för finansinstitut att identifiera potentiella problem innan de påverkar tjänsteleveransen. Organisationer kan också etablera mekanismer för att snabbt upptäcka avvikande aktiviteter - inklusive problem med nätverksprestanda och IKT-relaterade incidenter - och identifiera potentiella single points of failure som kan påverka den operativa motståndskraften.

OpenText™ Core Application Observability kompletterar infrastrukturövervakningen genom att fokusera på applikationsprestanda och tjänsteleverans. Lösningen hjälper organisationer att säkerställa att kritiska applikationer för finansiella tjänster upprätthåller optimal prestanda och tillgänglighet. Den möjliggör omfattande analys av grundorsaker och dokumentation av incidenter, vilket stöder DORA:s krav på incidenthantering och -lösning. Integrerade övervaknings- och uppföljningsfunktioner säkerställer att organisationerna upprätthåller en konsekvent servicekvalitet samtidigt som de uppfyller kraven på myndighetsrapportering.

DORA-beredskap: Dags att agera

DORA innebär en betydande förändring i hur finansinstitut måste förhålla sig till digital verksamhet och riskhantering. En framgångsrik efterlevnad av DORA kräver en omfattande strategi som kombinerar robusta tekniska lösningar, tydliga processer och ett kontinuerligt engagemang för digital motståndskraft. Organisationer måste påbörja sin efterlevnadsresa i god tid före tidsfristen i januari 2025 för att säkerställa att de uppfyller alla krav och upprätthåller den nödvändiga operativa motståndskraften för den digitala tidsåldern. Med OpenText:s IT Operations-lösningar kan finansinstitut bygga en stark grund för efterlevnad av DORA samtidigt som de förbättrar sin övergripande IT-driftseffektivitet och säkerhet.

UtvaldaUtvalda

Analytics CloudAnalytics Cloud

Data Lakehouse & AnalysData Lakehouse & Analys

BI, visualisering och rapporteringBI, visualisering och rapportering

eDiscovery och juridiska lösningareDiscovery och juridiska lösningar

OpenText™ Aviator Search

Business Network CloudBusiness Network Cloud

Automatisering av leveranskedjanAutomatisering av leveranskedjan

B2B-integrationB2B-integration

Säkert samarbeteSäkert samarbete

Spårbarhet i leveranskedjanSpårbarhet i leveranskedjan

Insikter om leveranskedjanInsikter om leveranskedjan

Industriella tillämpningar och tjänsterIndustriella tillämpningar och tjänster

OpenText™ Business Network Aviator

Content CloudContent Cloud

DokumenthanteringDokumenthantering

AI-hantering av innehållAI-hantering av innehåll

Capture och intelligent dokumentbehandlingCapture och intelligent dokumentbehandling

Process AutomationProcess Automation

Integration av företagIntegration av företag

Information ArchivingInformation Archiving

Lösningar för industrinLösningar för industrin

InformationsstyrningInformationsstyrning

OpenText™ Content Aviator

Cybersecurity CloudCybersecurity Cloud

ApplikationssäkerhetApplikationssäkerhet

Datasekretess och dataskyddDatasekretess och dataskydd

Threat Upptäckt och svarThreat Upptäckt och svar

Identity and Access ManagementIdentity and Access Management

Digitala utredningar och kriminalteknikDigitala utredningar och kriminalteknik

Threat IntelligenceThreat Intelligence

OpenText™ Cybersecurity Aviator

DevOps CloudDevOps Cloud

DevOps-plattformDevOps-plattform

Functional TestingFunctional Testing

PPM och strategisk Portfolio ledningPPM och strategisk Portfolio ledning

KvalitetsstyrningKvalitetsstyrning

PrestandateknikPrestandateknik

OpenText™ DevOps Aviator

Experience CloudExperience Cloud

Webb- och mobilupplevelserWebb- och mobilupplevelser

Contact Center AnalyticsContact Center Analytics

Meddelanden & FaxMeddelanden & Fax

Kund CommunicationsKund Communications

Digital tillgångshanteringDigital tillgångshantering

Kundresa och dataKundresa och data

OpenText™ Experience Aviator

IT Operations CloudIT Operations Cloud

Service ManagementService Management

Upptäckt & CMDBUpptäckt & CMDB

AIOps och observerbarhetAIOps och observerbarhet

NätverkshanteringNätverkshantering

Cloud Management, FinOps & GreenOpsCloud Management, FinOps & GreenOps

AutomatiseringAutomatisering

OpenText™ IT Operations Aviator

OpenText™ ThrustOpenText™ Thrust

OpenText™ Thrust buntOpenText™ Thrust bunt

OpenText™ Aviator Thrust

PortfolioPortfolio

Lösningar för säkerhetskopiering av företagsdata och katastrofåterställningLösningar för säkerhetskopiering av företagsdata och katastrofåterställning

Verktyg för enhetlig endpoint-hanteringVerktyg för enhetlig endpoint-hantering

Hybridarbete, e-post och teamsamarbete Hybridarbete, e-post och teamsamarbete

E-postarkivering, E-Discovery, efterlevnad av dataarkiveringE-postarkivering, E-Discovery, efterlevnad av dataarkivering

Anslutningsmöjligheter och dokumenthanteringAnslutningsmöjligheter och dokumenthantering

Information i ny tappningInformation i ny tappning

Artificiell IntelligenceArtificiell Intelligence

IndustriIndustri

FöretagsapplikationerFöretagsapplikationer

Din resa till framgångDin resa till framgång

KundtjänstKundtjänst

Tjänster för kundframgångTjänster för kundframgång

KonsulttjänsterKonsulttjänster

NextGen-tjänsterNextGen-tjänster

Tjänster för lärandeTjänster för lärande

Managed ServicesManaged Services

Hitta en partner på OpenTextHitta en partner på OpenText

Hitta en partnerlösningHitta en partnerlösning

Växa som partnerVäxa som partner

Bli en partner

TillgångsbibliotekTillgångsbibliotek

Utvalda

Analytics Cloud

Data Lakehouse & Analys

BI, visualisering och rapportering

eDiscovery och juridiska lösningar

Business Network Cloud

Automatisering av leveranskedjan

B2B-integration

Säkert samarbete

Spårbarhet i leveranskedjan

Insikter om leveranskedjan

Industriella tillämpningar och tjänster

Content Cloud

Dokumenthantering

AI-hantering av innehåll

Capture och intelligent dokumentbehandling

Process Automation

Integration av företag

Information Archiving

Lösningar för industrin

Informationsstyrning

Cybersecurity Cloud

Applikationssäkerhet

Datasekretess och dataskydd

Threat Upptäckt och svar

Identity and Access Management

Digitala utredningar och kriminalteknik

Threat Intelligence

DevOps Cloud

DevOps-plattform

Functional Testing

PPM och strategisk Portfolio ledning

Kvalitetsstyrning

Prestandateknik

Experience Cloud

Webb- och mobilupplevelser

Contact Center Analytics

Meddelanden & Fax

Kund Communications

Digital tillgångshantering

Kundresa och data

IT Operations Cloud

Service Management

Upptäckt & CMDB

AIOps och observerbarhet

Nätverkshantering

Cloud Management, FinOps & GreenOps

Automatisering

OpenText™ Thrust

OpenText™ Thrust bunt

Portfolio

Lösningar för säkerhetskopiering av företagsdata och katastrofåterställning

Verktyg för enhetlig endpoint-hantering

Hybridarbete, e-post och teamsamarbete

E-postarkivering, E-Discovery, efterlevnad av dataarkivering

Anslutningsmöjligheter och dokumenthantering

Information i ny tappning

Artificiell Intelligence

Industri

Företagsapplikationer

Din resa till framgång

Kundtjänst

Tjänster för kundframgång

Konsulttjänster

NextGen-tjänster

Tjänster för lärande

Managed Services

Hitta en partner på OpenText

Hitta en partnerlösning

Växa som partner

Tillgångsbibliotek

Bloggar

Händelser

Samhällen

Kundberättelser

OpenText Navigator

Marknadsplats