DORA: Fra EU-lovgivning til tekniske sikkerhedstests

Af Martin Kofoed, Partner & Chief Cyber Security Officer, Cyber Security Division, itm8

EU-forordningen Digital Operational Resilience Act (DORA) er snart gældende lovgivning i Danmark. Forordningen er designet til at sikre finanssektorens evne til at modstå afbrydelser, trusler og cyberangreb relateret til informations- og kommunikationsteknologier.

Med cybertrusler der bliver stadig mere sofistikerede, lægger DORA vægt på harmoniserede risikostyringspraksisser på tværs af EU, og giver en robust ramme for operationel modstandsdygtighed.

De centrale krav i lovgivningen er blandt andet en risikobaseret, teknisk sikkerhedstestplan, der er afgørende for at hjælpe organisationer med proaktivt at håndtere sårbarheder og tilpasse sig de løbende, udviklende cybertrusler. 

Med januar 2025-fristen i horisonten er det nu du skal handle. En risikobaseret testplan er ikke kun et regulatorisk krav – det er en investering i den tillid og sikkerhed, der understøtter finanssektoren.

DORA-forordningen kort

I januar 2023 blev DORA officielt vedtaget af EU – dog med implementeringsfrister, der strækker sig ind i 2025. Forordningen konsoliderer flere cybersikkerheds- og operationelle standarder, der kræver, at finansielle institutioner vedtager ensartede praksisser inden for særlig risikostyring, hændelsesrapportering, modstandsdygtighedstest og tredjepartsrisikostyring.

De europæiske, finansielle tilsynsmyndigheder (ESA) fører tilsyn med overholdelsen og sikrer, at institutionerne effektivt reducerer risici og opretholder operationel kontinuitet.

DORA pålægger blandt andet systematisk test af digital modstandsdygtighed med fokus på kritiske systemer og processer.

I modsætning til mere traditionelle sikkerhedstest kræver DORAs rammeværk scenariebaserede metoder, der efterligner virkelige cyberangreb. Disse omfatter trusselsbaserede penetrationstest også kendt som Red Team, som går videre end simpel compliance og understøtter en proaktiv risikohåndtering.

Teknisk sikkerhedstest: Fundamentet for modstandsdygtighed

I DORA spænder begrebet sikkerhedstest over flere lag af en organisations IT-økosystem. Det omfatter identifikation af sårbarheder, evaluering af sikkerhedskontrol og simulering af angrebsmønstre.

Disse test har ikke kun til formål at identificere konfigurationsfejl og manglende sikkerhedsopdateringer, men også at vurdere, hvordan en organisation opdager, håndterer, og kommer sig efter potentielle cyberhændelser.

Tre primære tilgange til test i DORA:

• Sårbarhedsanalyse: Scanning efter kendte svagheder og fejlkonfigurationer i systemer.
• Penetrationstest: Simulering af angreb for at vurdere systemers basale forsvar og afdække skjulte sårbarheder.
• Red Team Test: Gennemføre realistiske, fjendtligt simulerede scenarier for at teste organisationens responskapacitet.

Hver metode giver unikke indsigter. Men fundamentet for en effektiv strategi ligger i at integrere disse tests i en risikobaseret tilgang som del af jeres IT-risikoprocesser. 

En risikobaseret teknisk testplan i 7 trin

DORAs fokus er en risikobaseret tilgang, som skal sikre, at ressourcer allokeres effektivt, og at der er fokus på højrisikoområder, der indeholder de største potentielle konsekvenser.

Udviklingen af en plan for sikkerhedstest indebærer flere nøgletrin, som kan se således ud:

Trusselsbaserede penetrationstest simulerer cyberangreb

For finansielle institutioner der er klassificeret som ”systemisk vigtige finansielle institutioner” kræver DORA at avancerede testmetoder bliver gennemført – heriblandt trusselsbaserede penetrationstest.

Trusselsbaserede penetrationstest simulerer sofistikerede cyberangreb og replicerer værktøjer, taktikker og procedurer fra virkelige cyberkriminelle.

Nøglekrav for trusselsbaserede penetrationstest:

• Realistiske scenarier: Tests er baseret på faktisk trusselsintelligens og sikrer relevans for aktuelle risici.
• Omfattende rækkevidde: Scenarier dækker en bred vifte af angrebsmetoder – fra phishing til udnyttelse af systemer.
• Detaljeret rapportering: Resultaterne dokumenteres udførligt med handlingsrettede anbefalinger.
• Samarbejdsworkshops: Workshops efter tests involverer Red og Blue Teams for vidensdeling og procesforbedringer.

Implementering i praksis – 4 steps

DORAs integration i Danmarks lovgivning giver organisationer klare retningslinjer for overholdelse.

Danske regler specificerer testkrav, fra dokumentation af afhængigheder af tredjepartsleverandører til evaluering af systemer under spidsbelastninger.

Implementering i praksis indebærer flere kritiske trin:

DORA skaber en fremtid af pålidelighed

DORA forordningen repræsenterer et vigtigt skift fra reaktive til proaktive praksisser inden for cybersikkerhed. En risikobaseret tilgang til compliance er en mulighed for at styrke den operationelle modstandsdygtighed mod cyberangreb.

En veludviklet teknisk sikkerhedstestplan er hjørnestenen i denne transformation. Den hjælper til at identificere sårbarheder, før angribere kan udnytte dem, og sikrer kontinuitet af kritiske funktioner i tilfælde af afbrydelser.

Når en organisation tilpasser dig DORA bygger de en kultur af proaktiv modstandsdygtighed – samtidig med at de styrker tilliden fra interessenter og positionerer sig som en pålidelig aktør i en digitalt udfordret verden.  

Selvom rejsen mod fuld overholdelse og robust operationel modstandsdygtighed kan være krævende, er fordelene ved at være forberedt og modstandsdygtig langt større end omkostningerne.

Ved at handle nu kan organisationer stå stærkt i en stadig mere kompleks og trusselsfyldt digital fremtid.

Webinar: Forstå DORA og kravene til tekniske IT-sikkerhedstests

Den 17. januar holder vi et webinar om DORA. Her kan du blive klogere på krav, regler og compliance i forbindelse med DORA.

På webinaret deltager DAHL Advokatpartnerskab – de vil dykke ned i de juridiske aspekter, imens vi sætter skarpt fokus på de strategiske tiltag og tekniske sikkerhedstests.