Er ISO 27001 vottun nóg til að uppfylla DORA reglugerðina?
DORA reglugerðin (e. Dora Operational Resilience Act) tók gildi í janúar 2025 og hefur breytt landslagi fjármálageirans í Evrópu. Reglugerðin setur fram strangar kröfur um rekstraröryggi, prófanir og eftirlit með upplýsingatækni. Hún krefst þess að fyrirtæki geti staðið af sér áföll án þess að það hafi áhrif á þjónustu við viðskiptavini.
Við ræddum við Mariu Hedman, vörustjóra CCQ, um hvernig DORA og ISO 27001 vinna saman, hvaða áskoranir fyrirtæki standa frammi fyrir og hvernig CCQ til við að halda utan um kröfur og ferla á einfaldan hátt.
Hér má sjá viðtalið í heild sinni.
Hvað er DORA?
„DORA er ný reglugerð fyrir fjármálafyrirtæki sem tók gildi í janúar 2025,“ útskýrir Maria. „Hún snýr að rekstrarþoli í stafrænu umhverfi og krefst þess að fyrirtæki geti staðið af sér áföll, eins og netárásir eða tæknibilanir, án þess að það hafi áhrif á þjónustu við viðskiptavini.“
DORA leggur áherslu á:
- Rekstrarstöðugleika og samfellda þjónustu.
- Prófanir á seiglu (e. resilience testing).
- Áhættustýringu hjá þjónustuveitum (e. third party risk management).
- Tilkynningaskyldu til eftirlitsaðila innan 24 – 72 klukkustunda vegna öryggisatvika.
- Gerð ítarlegra neyðaráætlana og endurheimtaáætlana.
Hvernig DORA og ISO 27001 vinna saman
Góðu fréttirnar eru að ef fyrirtæki fylgir nú þegar ISO 27001 staðlinum er það komið með sterkan grunn í átt að því að uppfyla DORA reglugerðina. Það mætti segja að kröfurnar hafi sameiginlegt DNA þó DORA taki þær skrefinu lengra.
- Báðir þættir einblína á áhættustjórnun, stjórnunarhætti og stöðugar umbætur.
- ISO 27001 gefur þér innri ferla og verklagsreglur á meðan DORA gerir það að skyldu að tilkynna öryggisatvik til eftirlitsaðila innan 24 – 72 klukkustunda.
- ISO 27001 hvetur til reglulegra prófana en DORA gerir slíkar prófanir lögbundnar og ítarlegri.
- ISO 27001 setur reglur um áhættu birgja; DORA gengur hins vegar mun lengra með ströngum kröfum um formlega samninga og virkt eftirlit með þjónustuveitum.
Hvað vantar upp á ef þú ert nú þegar með ISO 27001 vottun?
Þó ISO 27001 sé mikilvægur grunnur og hjálpi mikið til tryggir staðallinn ekki sjálfkrafa að fyrirtæki uppfylli kröfur DORA.
- DORA leggur áherslu á samfelldar prófanir. Það er ekki nóg að prófa einu sinni, fyrirtæki þurfa að framkvæma stöðu- eða viðnámsprófanir og svokallaðar Red Team æfingar á reglulegu millibili.
- Sérstaklega þarf að huga að áhættustýringu hjá þjónustuveitum (third party) með formlegum samningum, eftirliti og tilkynningum til eftirlitsaðila.
- Skilyrði DORA um tilkynningar til eftirlitsaðila innan 24- 72 klukkustunda eru strangar og ekki hluti af ISO kröfum.
- Reglugerðin krefst ítarlegra neyðaráætlana og endurheimtaáætlana.
Hvernig hjálpar CCQ í ferlinu?
„CCQ inniheldur alla þá þætti sem þarf til að reka gott stjórnkerfi,“ útskýrir Maria.
CCQ gegnir lykilhlutverki í innleiðingu á DORA og ISO 27001. Með CCQ færð þú:
- Innbyggðan stuðning við staðla: Kerfið inniheldur innbyggðan stuðning við ISO 27001 og það er einnig hægt að setja DORA kröfurnar inn í kerfið.
- Yfirsýn og samræmi: Fyrirtæki fá góða heildarmynd um hvernig gengur að hlíta ISO 27001 og geta fylgst með framvindu og samræmi við báðar kröfur á einum stað.
- Stjórnkerfi: Kerfið inniheldur rekjanleika, útgáfustýringu og samþykktarferli.
- Upplýst starfsfólk: CCQ tryggir að starfsfólk sé upplýst og meðvitað um áhættur og verklagsreglur, m.a. með staðfestingu á lestri á skjölum og mismunandi yfirliti eftir hlutverkum notenda.
„Tíminn er naumur,“ nefnir Maria. „DORA tók gildi í janúar 2025 og mörg fyrirtæki eru enn að stíga fyrstu skrefin.“ Með því að nýta ISO 27001 sem grunn og CCQ til að halda utan um ferlana, geta fyrirtæki einfaldlega og örugglega byggt upp stöðugt rekstrarumhverfi.
Viltu sjá hvernig hægt er að innleiða DORA reglugerðina í CCQ?
Fylltu út formið til að sækja myndband sem sýnir skref fyrir skref hvernig hægt er að innleiða DORA reglugerðina í CCQ.
