EU:s regelverk Digital Operational Resilience Act (DORA) gör cybersäkerhet till en fråga om bevisad motståndskraft. Målet är att höja den digitala säkerheten i hela finanssektorn.
Digital Operational Resilience Act (DORA) trädde i kraft den 17 januari 2025. Syftet är att stärka den digitala motståndskraften i finanssektorn och säkerställa att banker, försäkringsbolag, fintechbolag och deras leverantörer kan stå emot och återhämta sig från cyberangrepp.
Säkerheten ska bevisas
För att uppnå målet om ökad digital motståndskraft omfattar DORA fem kapitel som tillsammans beskriver hur arbetet med cybersäkerhet ska bedrivas.
- Kapitel 1: Riskhantering – krav på styrning, rutiner och ansvar
- Kapitel 2: Incidentrapportering – hur och när cyberincidenter ska rapporteras
- Kapitel 3: Operativ kontinuitet – planer för att snabbt återställa verksamheten
- Kapitel 4: Testning av digital operativ motståndskraft – praktiska tester av hur systemen står emot angrepp
- Kapitel 5: Tredjepartsrisker – krav på kontroll även av leverantörers cybersäkerhet
Kapitel 4 är en av de mest omfattande delarna och beskriver hur finansiella aktörer ska verifiera sin digitala motståndskraft genom praktisk testning. Tidigare säkerhetsgranskningar har ofta handlat om att kontrollera rutiner och dokumentation, men nu ska aktörerna kunna visa att deras skydd håller för verkliga angrepp.
”Testning är en stor del av DORA, eftersom det är det som visar om säkerhetsåtgärderna fungerar i praktiken”, säger Benjamin Svensson, senior säkerhetsspecialist på Assured. Han arbetar med säkerhetstester inom webb, infrastruktur och moln – men även i mer specialiserade miljöer som industriella nätverk och fordonssystem.
Threat-led penetration testing (TLPT)
DORA skiljer mellan två nivåer av testning: grundläggande testning och avancerad testning. Den grundläggande testningen omfattar till exempel traditionella penetrationstester, där sårbarheter i system och processer identifieras och åtgärdas. Det handlar ofta om tekniska brister i mjukvara, infrastruktur eller molnmiljöer som skulle kunna utnyttjas av en angripare.
Den avancerade testningen, så kallad threat-led penetration testing (TLPT), går längre.
”Syftet med TLPT är inte bara att hitta sårbarheter utan att bedöma hur bra en organisation är på att upptäcka, stoppa och återställa sig efter en cyberattack”, säger Benjamin.
TLPT kräver ett verklighetsnära angreppssätt och bygger på threat intelligence, alltså data om hur faktiska hotaktörer agerar mot banker, försäkringsbolag och fintechbolag. Utifrån den informationen tas realistiska scenarier fram som sedan testas i praktiken.
I dessa tester genomförs så kallade red team-övningar. Här agerar red team som angripare, medan ett blue team ansvarar för att upptäcka och stoppa attacken. I vissa organisationer körs purple team-övningar, där angripare och försvarare samarbetar för att stärka organisationens förmåga att upptäcka, agera och dra lärdom av övningen.
DORA hänvisar till ramverket TIBER-EU (Threat Intelligence-Based Ethical Red Teaming), som tagits fram av Europeiska centralbanken. Ramverket beskriver hur red team-övningar ska planeras, genomföras och utvärderas, samt vilka krav som ställs på både testare och leverantörer.
Krav på testarna
DORA ställer också krav på testarna själva. De ska enligt regelverket vara ”bäst lämpade” och ha ”högt anseende” inom sitt område.
”Det är ganska otydliga formuleringar, men tanken är att de som utför testerna ska vara erfarna och ha gott rykte. Hur det bedöms i praktiken återstår att se,” säger Benjamin.
I Sverige har Riksbanken det övergripande ansvaret för att DORA genomförs, medan Finansinspektionen följer upp och kontrollerar att aktörerna uppfyller kraven.
Genom TLPT får organisationen en tydlig bild av sina faktiska styrkor och svagheter – inte bara i systemen, utan också i rutinerna för att upptäcka, hantera och återhämta sig efter angrepp. Testerna omfattar även förmågan att återskapa eller återställa sådant som gått förlorat, krypterats eller skadats, det som på engelska kallas recover. Resultatet blir ett viktigt underlag för hur organisationen prioriterar sitt fortsatta säkerhetsarbete.
Så förändras arbetet med cybersäkerhet
Med DORA blir testning en integrerad del av riskhanteringen i stället för en separat teknisk aktivitet. Regelverket kräver att alla finansiella aktörer, med undantag för de allra minsta, har ett strukturerat program för testning som en del av sitt säkerhetsarbete.
För många etablerade banker är detta redan väl inarbetat. För mindre aktörer, som fintechbolag och betalningsleverantörer, kan det däremot innebära nya processer, investeringar och behov av kompetensutveckling. Samtidigt skapar DORA ett gemensamt språk för cybersäkerhet i finanssektorn, vilket på sikt kan stärka förtroendet mellan aktörer och leverantörer.
Enligt Benjamin kan DORA bli ett stöd även för andra branscher som vill stärka sitt arbete med säkerhet och testning.
Så kan företag förbereda sig
För att uppfylla DORA krävs både struktur och kontinuitet. Organisationer behöver kartlägga vilka system som är mest kritiska, bestämma vilka typer av tester som ska genomföras och dokumentera resultat och åtgärder.
”Det viktigaste är att ha en plan och att börja i tid. DORA handlar inte om att bli klar, utan om att bygga en process för ständig förbättring,” säger Benjamin.
Behöver ni stöd i ert DORA-arbete?
Assured hjälper finansiella aktörer att kartlägga sina risker, genomföra rätt typ av testning och etablera de processer som krävs enligt DORA.
Läs mer om hur vi kan hjälpa er härKontakta oss för att diskutera hur vi kan stötta ert arbete med DORA och cybersäkerhet.