Byggjum upp stafræna seiglu sem vekur traust: DORA og ISO 27001

Af hverju stafrænn viðnámsþróttur skiptir meira máli en nokkru sinni fyrr

Í dag skiptir traust öllu máli. Bankar, tryggingafélög og fjármálafyrirtæki eru ekki lengur aðeins að keppa um besta tilboðið eða appið, heldur keppa þau um traust. Viðskiptavinir búast við því að fjármunir þeirra séu öruggir, að færslur gangi snurðulaust fyrir sig og að gögn þeirra séu varin á hverjum tíma. Regluverðir eru nú að herða kröfurnar til að tryggja að allt fjármálaumhverfið sé öruggt.

Þar koma DORA og ISO 27001 inn í myndina.

Hvað er DORA og af hverju skiptir það máli?

Digital Operational Resilience Act (DORA) er leið Evrópusambandsins til að segja „Í fjármálum er netöryggi ekki lengur val, heldur lög.“

Frá og með janúar 2025 þurfa öll fjármálafyrirtæki sem starfa innan ESB að sýna fram á að þau geti staðist, brugðist við og náð sér eftir ICT truflanir (upplýsinga- og fjarskiptatækni).
Uppfært: DORA-löggjöfin hefur verið innleidd í íslenska löggjöf og tekið gildi hér á landi frá og með 1. janúar 2026.

Þetta felur í sér:

• Kerfisbundna áhættustjórnun
• Atvikaskráningu og tilkynningaskyldu
• Reglulegar prófanir á viðnámsþrótti
• Strangt eftirlit með þriðju aðilum, t.d. skýjaþjónustum

DORA setur því lagaramma um öryggi og seiglu.

ISO 27001: Trausti staðallinn á bak við tjöldin

Meðan DORA er nýkomin í sviðsljósið hefur ISO/IEC 27001 verið til staðar í mörg ár sem alþjóðlegur staðall fyrir upplýsingaöryggi. Fyrirtæki í öllum atvinnugreinum nota staðalinn til að:

• Tryggja öryggi viðkvæmra gagna
• Stjórna netöryggisáhættu
• Byggja upp traust við viðskiptavini og samstarfsaðila

ISO 27001 vottun sýnir að fyrirtækið tekur upplýsingaöryggi alvarlega.

Hvernig DORA og ISO 27001 vinna saman

Góðu fréttirnar eru að ef þú fylgir nú þegar ISO 27001 ertu langt komin í átt að DORA reglugerðinni.

• Sameiginlegt DNA: Báðir þættir einblína á áhættustjórnun, stjórnarhætti og stöðugar umbætur.
• Viðbrögð við atvikum: ISO 27001 gefur þér innri ferlana; DORA bætir við skyldu til að tilkynna atvik til yfirvalda.
• Prófanir á seiglu: ISO 27001 hvetur til reglulegra prófana; DORA gerir slíkar prófanir lögbundnar og ítarlegri.
• Eftirlit með birgjum: ISO 27001 setur reglur um áhættu birgja; DORA gengur lengra með kröfum um samninga og virkt eftirlit með þjónustuveitendum.

Í stuttu máli: ISO 27001 leggur grunninn, DORA byggir húsið.

Hlutverk CCQ í vegferðinni

Að innleiða bæði ISO 27001 og DORA getur virst yfirþyrmandi, en með réttu verkfærunum verður ferlið mikið einfaldara.

CCQ er gæðastjórnunarkerfi sem hjálpar fyrirtækjum að halda utan um öll skjöl, ferla og eftirlit á einum stað. Með því að nýta CCQ getur þú:

• Stjórnað skjölum og verklagsreglum sem tengjast bæði ISO 27001 og DORA.
• Fylgst með áhættu og frávikum í rauntíma og brugðist fljótt við.
• Auðveldað ytra og innra eftirlit með skýrum yfirlitum og rekjanleika.
• Sýnt fram á samræmi gagnvart eftirlitsaðilum með einföldum hætti.

Þannig er CCQ ekki bara stuðningstæki fyrir gæðstjórnun heldur lykiltól til að tryggja bæði reglugerð og traust viðskiptavina.

Myndin sýnir hvernig CCQ byggir á stefnum, verklagsreglum og innra eftirliti sem tengist ISO 27001 kröfum. Ofan á þetta leggur DORA nýjar reglur fyrir fjármálageirann sem tryggir meiri seiglu, rekstraröryggi og gagnsæi í upplýsingatækni.

Myndin tengir saman þrjú lykilhugtök:

• CCQ (innra gæðakerfi fyrirtækja)
• ISO 27001 (alþjóðlegur staðall fyrir upplýsingatækni)
• DORA (ný Evróputilskipun um rekstrarlega seiglu í fjármálaþjónustu)

Ef við hugsum þetta eins og hús:

• Þakið er stefnurnar (stefna fyrirtækis og öryggisstefna)
• Veggirnir eru verklagsreglurnar, vinnulýsingar og skjöl sem halda öllu saman
• Grunnurinn og loftkælingin eru stjórntæki og eftirlit (úttektir, atvikaskráning, rýni)
• ISO 27001 eru byggingakröfurnar sem húsinu fylgir
• DORA er ný reglugerð sem tryggir að húsið þoli óveður (netógnir og rekstrartruflanir)

Af hverju skiptir þetta máli fyrir fyrirtækið þitt?

Ef þú hugsar þetta út frá viðskiptavininum. Ef bankinn liggur niðri í nokkrar klukkustundir eða ef verra er, ef gögn leka, þá er traustið farið. Það skiptir engu máli þó þetta hafi aðeins verið „tæknileg villa“. Með því að samræma ISO 27001, DORA og CCQ ertu ekki aðeins að merkja við „compliance-reit“, þú ert að sýna viðskiptavininum, eftirlitsaðilum og samstarfsaðilum að fyrirtækið þitt sé:

• Undirbúið fyrir hið óvænta
• Skuldbundið til að vernda gögn og fé þeirra
• Að fjárfesta í langtíma trausti og seiglu

Frá reglugerð að samkeppnisforskoti

Reglugerðir eins og DORA geta litið út eins og enn eitt lag af skriffinnsku en framsækin fyrirtæki líta á þær sem tækifæri. Með því að sameina ISO 27001 og DORA, og nýta CCQ til að halda utan um ferlana, ertu ekki aðeins að uppfylla reglulegt eftirlit, heldur að byggja upp sterka samkeppnisstöðu byggða á trausti og seiglu.