DORA er en ny EU-forordning som har som mål å øke IT-sikkerheten i finanssektoren, f.eks. banker, forsikringsselskaper og verdipapirforetak.
En del av DORA-kravene er opplæring, som må gis til alle i organisasjonen.
I dette innlegget gir vi deg en kort oppsummering av DORA og hvordan du kan implementere kravene til sikkerhetsopplæring.
Hva er DORA?
DORA (som står for Digital Operational Resilience Act) er en ny EU-forordning som trer i kraft 17. januar 2025. Den gjelder for finanssektoren og har som mål å øke IT-sikkerheten i blant annet banker, forsikringsselskaper og verdipapirforetak.
De viktigste kravene i DORA:
DORA krever at finans- og IKT-leverandører bruker nye IT-sikkerhetsstandarder knyttet til:
- IKT-risikostyring og -styring
- Hendelsesrespons og rapportering
- Testing av digital driftsrobusthet
- Risikostyring fra tredjeparter
Opplæringskravene i DORA
Opplæringskravene i DORA er først og fremst knyttet til målet "Test av digital driftsstabilitet".
DORA krever to ulike typer opplæring for alle ansatte og toppledelsen.
- Opplæring i sikkerhetsbevissthet
- Opplæring i digital operativ robusthet
DORA sier også at alle ansatte bør få opplæring på et nivå som er relevant for deres rolle.
DORA spesifiserer ikke nøyaktig hva slags opplæring som er nok for hvilke ansatte. Det er derfor opp til hver enkelt organisasjon å tolke nøyaktig hvor mye opplæring hver enkelt ansatt trenger.
Men den øverste ledelsen må ha nok kunnskap om sikkerhetsrisikoer og risikohåndteringstiltak til å kunne føre tilsyn med organisasjonens DORA-arbeid. Dette er et eksempel på en medarbeider som trenger mer opplæring.
Vi skal nå gå nærmere inn på de to typene opplæring.
Opplæring i sikkerhetsbevissthet i DORA
Med DORA er organisasjoner pålagt å lage et program for opplæring i sikkerhetsbevissthet. I hovedsak innebærer det at alle ansatte må få generell opplæring i sikkerhetsbevissthet. I tillegg skal virksomheten sørge for spesialisert opplæring for spesifikke ansatte i mer komplekse, rollebaserte emner.
Generell, rollebasert opplæring for alle
Opplæringen bør være relevant for hver enkelt ansatt. For eksempel kan regnskapsteamet trenge mer opplæring i phishing, mens kunderelasjonsteamet kan trenge mer opplæring i hva de skal være oppmerksomme på når de jobber utenfor det tradisjonelle kontoret.
Spesialisert, dyptgående opplæring for noen
For andre roller, som toppledelsen, kan det være behov for mer opplæring. Det er ledelsen som har det endelige ansvaret for implementeringen av DORA i organisasjonen. For å kunne gjøre dette på en god måte kan ansatte i ledende stillinger trenge opplæring i for eksempel
-
Den juridiske siden av DORA og de kravene det stiller til ledelsen
-
Risiko- og sårbarhetsvurderinger
-
Hendelsesrespons, forretningskontinuitet og katastrofegjenoppretting
-
krisehåndtering
-
Testing av applikasjoner og infrastruktur
-
Fysisk testing
-
Sikkerhet i leverandørkjeden
Denne opplæringen kan gjennomføres i form av workshops for de ansatte, scenariobasert opplæring, e-læring eller en hvilken som helst annen metode organisasjonen foretrekker.
Opplæring i digital robusthet i DORA
Digital robusthet handler om å bygge opp, teste og forbedre organisasjonens sikkerhetsmotstandsdyktighet. DORA sier ikke spesifikt hva opplæring i digital robusthet skal inneholde. Igjen er det helt opp til organisasjonen å avgjøre hva som er riktig opplæringsnivå for dem, basert på risikoprofilen deres.
Noen aspekter av opplæringen i digital robusthet kan dekkes av den rollespesifikke opplæringen (se ovenfor), f.eks. lederopplæring i emner som risiko- og krisehåndtering. Det kan også gjøres gjennom testing av applikasjoner, infrastruktur og fysiske IT-systemer.
Denne opplæringen kan gjennomføres i form av workshops for de ansatte, scenariobasert opplæring, e-læring eller en annen metode du foretrekker.
Phishing-simuleringer er en annen måte å teste organisasjonens digitale motstandsdyktighet på. Phishing-opplæring gir organisasjonen innsikt i hvordan de vil opptre i et phishing-angrep, og gir dem områder de kan fokusere på for å forbedre seg. Denne innsikten bidrar til å gjøre en grundig risikoanalyse/sårbarhetsvurdering, som er en viktig del av arbeidet med DORA.
Hvordan CyberPilot kan hjelpe deg med å oppfylle DORAs krav til opplæring
Bevissthetsopplæring
CyberPilots bevissthetsopplæring gir deg det grunnleggende fundamentet (og mesteparten av innholdet) som er nødvendig for å oppfylle opplæringskravene, ved å tilby kurs i sikkerhetsbevissthet som kan distribueres i en rollebasert opplæringsplan. Du kan se hele kurskatalogen vår her (og vi publiserer noe nytt annenhver måned).
Vår eksisterende kurskatalog inneholder mer enn 30 kurs om IT-sikkerhetsrisikoer, hvordan man håndterer dem og god digital praksis. Disse kursene kan gis til alle ansatte i organisasjonen for å øke bevisstheten og oppmuntre til gode digitale vaner. Det er enkelt å lage spesifikke læringsstier for å skreddersy opplæringen til ulike roller, slik DORA krever.
Igjen er det helt opp til dere å bestemme nivået og omfanget av supplerende og rollebasert opplæring som gis til ansatte i spesifikke roller.
Opplæring i phishing
Vi anbefaler også å kombinere bevisstgjøringstrening med phishing-trening. Med phishing-trening kan en organisasjon teste sin digitale operasjonelle motstandskraft (i forhold til phishing-angrep). Dette forbedrer ikke bare organisasjonens sikkerhet, men bidrar også til å oppfylle DORAs krav. Med vår spear phishing-opplæring er det mulig for våre kunder å skreddersy opplæringen til ulike grupper av ansatte.
For å oppfylle DORAs krav om "opplæring i operasjonell motstandsdyktighet" kan vår phishing-opplæring gi deg innsikt i og forbedre organisasjonens motstandsdyktighet mot phishing-angrep.
Avslutningsvis
Ved å bruke en kombinasjon av bevissthetsopplæring og phishing-opplæring vil du være et godt stykke på vei mot å oppfylle DORAs krav til opplæring. Det gjenstår litt ekstra arbeid med grundig spesialopplæring og testing av digital operasjonell robusthet. Du må avgjøre hvilken opplæring som er riktig for deg, basert på din spesifikke risikoprofil.
Du kan lese mer om DORA her.
