DORA ställer nya krav på hur finansiella verksamheter hanterar it-risker, tredjepartsleverantörer och driftsäkerhet. Mats Ericson, Nordenchef på Nutanix, menar att organisationer som inte bygger in motståndskraft i sin infrastruktur riskerar att få svårt att möta framtidens tillsynskrav.
Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
I november förra året gjorde EU:s tillsynsmyndigheter den i många fall abstrakta frågan om driftsäkerhet till något verkligt. Med stöd av Digital Operational Resilience Act, DORA, pekade de europeiska tillsynsmyndigheterna för första gången ut en grupp viktiga tredjepartsleverantörer som hanterar it-säkerhet inom finanssektorn. Stora molnleverantörer och infrastrukturföretag omfattas därför nu av direkt tillsyn som leverantörer till finansiella bolag.
För alla finansiella bolag med viktiga IT-system på dessa plattformar blev budskapet tydligt: driftsäkerheten hos molnleverantören är nu en del av er riskprofil. Och det räcker inte att bara förebygga incidenter. Tillsynsmyndigheterna vill ha dokumenterade bevis på att tredjepartsleverantörerna kan hantera avbrott och återhämta sig snabbt och fortsätta driva verksamheten vid attacker eller störningar.
Ett av DORAs skarpaste krav är granskning av koncentrationsrisk. Finansiella bolag måste kunna påvisa att viktiga funktioner inte är beroende av en enda leverantör och att IT-system och data i praktiken kan flyttas vid behov.
Detta har gjort exitstrategier till ett operativt krav snarare än en kontraktsmässig bock i ett avtal. Enligt DORA måste finansiella bolag ha trovärdiga planer för att kunna avsluta IT-leveransavtal för viktiga funktioner. European Banking Authorities riktlinjer om outsourcing innebär dessutom att man måste kunna påvisa en förmåga till teknisk portabilitet av IT-system och data.
För finansiella bolag som är starkt beroende av en enda molnleverantör innebär detta en tydlig utmaning. Därför blir hybridmodeller med flera molnleverantörer inte bara en teknisk fråga, utan även ett sätt att uppfylla regulatoriska krav och säkerställa efterlevnad av gällande regelverk.
DORA kräver regelbunden testning av driftsäkerhet, inklusive penetrationstester med åtgärdsplaner. Att testa processer för återställning, validera hur redundanta system fungerar och simulera incidenter kräver ofta underhållsfönster och skapar risker för den dagliga driften medan mycket resurser förbrukas i traditionella IT-miljöer. Testmiljöer som är utformade för icke-störande testning och automatiserad återställning blir därför viktiga för att löpande kunna påvisa förmågan att hantera attacker och återställa driften.
Tillsynsmyndigheterna som arbetar med DORA, de brittiska ramverken eller motsvarande regelverk på andra håll, skärper nu kraven på klassificeringen av incidenter och tidsfristen för rapportering. När något går fel måste finansiella bolag identifiera det snabbt, bedöma påverkan korrekt och rapportera via rätt kanaler inom angivna tidsramar.
Det är svårt om man inte har en operativ överblick. Många finansiella bolag saknar fortfarande en samlad bild över egen infrastruktur, molnmiljöer och tredjepartstjänster. Man kan ha god synlighet inom specifika IT-miljöer men ingen sammanhängande bild över riskerna i hela infrastrukturen.
Fungerande driftsäkerhet kräver, förutom förebyggande arbete och skydd mot attacker, att företag också upptäcker hot, begränsar attacker och snabbt återhämtar sig efter intrång. Mikrosegmentering, Zero Trust-arkitekturer, säkerhetskopior och automatiserade arbetsflöden för incidenthantering går då från att vara etablerade it-säkerhetsmetoder till något man gör för att hantera krav från myndigheterna.
Att bygga in driftsäkerhet i efterhand är kostsamt. De beslut som finansiella bolag idag fattar om infrastruktur kommer antingen att klara av framtida regeländringar eller skapa en teknisk skuld som gör varje nytt myndighetskrav svårare att möta.
Detta är viktigt eftersom regelverken kommer att fortsätta utvecklas. Krav på styrning av AI enligt EU:s AI-förordning börjar gälla för högriskanvändning inom finansiella tjänster i augusti 2026. PSD3 gör driftsäkerhet till ett licenskrav för betalningsföretag.
För att kunna uppfylla tillsynsmyndigheternas krav behövs bevis. Och det kräver rätt infrastruktur.
Mats Ericson,
Chef på Nutanix i Norden
Verksamhet: Utvecklar mjukvara och plattformar för hybrid- och multicloudmiljöer, med fokus på it-infrastruktur, virtualisering, datahantering och cybersäkerhet.
Grundat: 2009
Huvudkontor: San Jose, Kalifornien, USA
Verksamt i: Globalt, med verksamhet i Norden och övriga Europa.
Kunder: Företag och organisationer inom bland annat finans, offentlig sektor, telekom och industri.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
