Contact us: +45 32 67 26 26
Dansk
Tilbage til blog
3 min read

En hurtig guide til DORA og dets krav til sikkerhedstræning

Sarah Hofmann
By: Sarah Hofmann IT-sikkerhed | 19 januar

DORA er en ny EU-forordning, der har til formål at øge IT-sikkerheden i den finansielle sektor, f.eks. banker, forsikringsselskaber og investeringsfirmaer.

En del af DORA-kravene er uddannelse, som skal gives til alle i organisationen.

I dette indlæg giver vi dig et kort resumé af DORA, og hvordan du implementerer kravene til sikkerhedstræning.

Hvad er DORA?

DORA (som står for Digital Operational Resilience Act) er en ny EU-forordning, der træder i kraft den 17. januar 2025. Den gælder for den finansielle sektor og har til formål at øge IT-sikkerheden i f.eks. banker, forsikringsselskaber og investeringsfirmaer.

De vigtigste krav i DORA:

DORA kræver, at finans- og ICT-udbydere bruger nye IT-sikkerhedsstandarder relateret til:

  • IKT-risikostyring og -styring
  • Hændelsesrespons og rapportering
  • Test af digital operationel modstandsdygtighed
  • Tredjeparts risikostyring

 

Uddannelseskravene i DORA

Uddannelseskravene i DORA er primært relateret til målet "Test af digital driftsstabilitet".

DORA kræver to forskellige typer træning for alle medarbejdere og den øverste ledelse.

  • Træning i sikkerhedsbevidsthed
  • Træning i digital operationel robusthed

DORA siger også, at alle medarbejdere skal uddannes på et niveau, der er relevant for deres rolle.

DORA specificerer ikke præcist , hvilken slags træning der er nok for hvilke medarbejdere. Så det er op til den enkelte organisation selv at fortolke, præcis hvor meget træning af hvilken slags hver enkelt medarbejder har brug for.

Men den øverste ledelse skal vide nok om sikkerhedsrisici og risikostyringsforanstaltninger til at føre tilsyn med deres organisations DORA-arbejde. Dette er et eksempel på en medarbejder, der har brug for et højere uddannelsesniveau.

Vi gennemgår de to typer uddannelse i det næste afsnit.

Træning i sikkerhedsbevidsthed i DORA

Med DORA er organisationer forpligtet til at oprette et træningsprogram for sikkerhedsbevidsthed. I bund og grund betyder det, at alle medarbejdere skal modtage generel træning i sikkerhedsbevidsthed. Derudover skal organisationer tilbyde specialiseret træning til specifikke medarbejdere i mere komplekse, rollebaserede emner.

Generel, rollebaseret træning for alle

Træningen skal være relevant for hver enkelt medarbejder. For eksempel kan regnskabsteamet have brug for mere træning i phishing, mens kunderelationsteamet kan have brug for mere træning i, hvad de skal være opmærksomme på, når de arbejder uden for det traditionelle kontor.

Specialiseret, dybdegående træning for nogle

For andre roller, som f.eks. den øverste ledelse, kan der være behov for mere træning. Ledelsen har det endelige ansvar for implementeringen af DORA i deres organisation. For at kunne gøre dette uden problemer kan medarbejdere i ledende stillinger have brug for træning i f.eks:

  • Den juridiske side af DORA og de krav, det stiller til ledelsen

  • Risiko- og sårbarhedsvurderinger

  • Hændelsesrespons, forretningskontinuitet og disaster recovery

  • Krisestyring

  • Test af applikationer og infrastruktur

  • Fysisk testning

  • Sikkerhed i forsyningskæden

Denne træning kan udføres med medarbejderworkshops, scenariebaseret træning, e-læring eller en anden metode , som organisationen foretrækker.

Træning i digital operationel robusthed i DORA

Digital operationel resiliens handler om at opbygge, teste og forbedre en organisations sikkerhedsmæssige resiliens. DORA siger ikke specifikt, hvad træning i digital operationel robusthed skal omfatte. Igen er det helt op til organisationen at afgøre, hvilket uddannelsesniveau der er det rigtige for dem, baseret på deres risikoprofil.

Nogle aspekter af træningen i digital operationel robusthed kan dækkes af den rollespecifikke træning (ovenfor), f.eks. ledertræning i emner som risiko- og krisestyring. Det kan også ske gennem test af applikationer, infrastruktur og fysiske IT-systemer.

Denne træning kan udføres med medarbejderworkshops, scenariebaseret træning, e-learning eller en anden metode, du foretrækker.

Phishing-simuleringer er en anden måde at teste en organisations digitale modstandsdygtighed på. Phishing-træning giver en organisation indsigt i, hvordan de ville klare sig i et phishing-angreb, og giver dem områder, hvor de kan fokusere på forbedringer. Denne indsigt bidrager til at lave en grundig risikoanalyse/sårbarhedsvurdering, som er en vigtig del af arbejdet med DORA.

Sådan kan CyberPilot hjælpe dig med at opfylde DORA's uddannelseskrav

Awareness-træning

CyberPilots awareness-træning giver jer det centrale fundament (og størstedelen af indholdet), der er nødvendigt for at opfylde træningskravene, ved at levere security awareness-kurser, der kan distribueres i en rollebaseret træningsplan. Du kan se hele vores kursuskatalog her (og vi udgiver noget nyt hver anden måned).

Vores eksisterende kursuskatalog indeholder mere end 30 kurser om IT-sikkerhedsrisici, hvordan man håndterer dem og god digital praksis. Disse kurser kan gives til alle medarbejdere i organisationen for at øge bevidstheden og opmuntre til gode digitale vaner. Der kan nemt oprettes specifikke læringsstier for at skræddersy træningen til forskellige roller, som DORA kræver.

Igen er det helt op til dig at bestemme niveauet og omfanget af supplerende og rollebaseret træning, der gives til medarbejdere i specifikke roller.

 

Studerende sidder på bøger og prøver kurser gratis

Træning i phishing

Vi anbefaler også at parre awareness-træning med phishing-træning. Med phishing-træning kan en organisation teste sin digitale operationelle modstandsdygtighed (i forhold til phishing-angreb). Det forbedrer ikke kun organisationens sikkerhed, men bidrager også til at opfylde DORA's krav. Med vores spear phishing-træning er det muligt for vores kunder at skræddersy disse træningsarrangementer til forskellige medarbejdergrupper.

For at opfylde DORA's krav om "operationel modstandsdygtighedstræning" kan vores phishing-træning give dig indsigt i og forbedre din organisations modstandsdygtighed over for phishing-angreb.

 

Afslutningsvis

Ved at bruge en kombination af awareness-træning og phishing-træning er du langt hen ad vejen i stand til at opfylde DORA's træningskrav. Der er lidt ekstra arbejde at gøre omkring dybdegående specialiseret træning og test af digital operationel modstandsdygtighed. Du skal beslutte, hvilken træning der er den rigtige for dig, baseret på din specifikke risikoprofil.

Du kan læse mere om DORA her.
Back to blog
Recent articles
IT-sikkerhed Den Ultimative Guide Til En Stærk Sikkerhedskultur

En stærk sikkerhedskultur er grundlaget for en sikker organisation. Vi deler de bedste ting du kan gøre for at udvikle en sikkerhedskultur i din virksomhed.

Sarah Hofmann 14 min read - By Sarah Hofmann
Awareness træning, IT-sikkerhed CIS-Kontroller V8: Hvad er CIS 18 og Hvordan Du Kan Bruge Det Til Awareness Træning

CIS Controls v8 indeholder 18 sikkerhedsforanstaltninger til at beskytte din organisation. Se, hvordan du opfylder kravene til sikkerhedsbevidsthedstræning i Control 14.

Sarah Hofmann 14 min read - By Sarah Hofmann
Awareness træning Hvad Er Awareness-træning? Og Hvordan Man Implementerer Det Effektivt

Awareness træning skaber opmærksomhed blandt dine medarbejdere og styrker din IT-sikkerhed. Det kan dække forskellige emner indenfor IT-sikkerhed og GDPR.

Søren Lassen Jensen 11 min read - By Søren Lassen Jensen