Tillbaka till bloggen
3 min read

En snabbguide till DORA och dess krav på säkerhetsutbildning

Sarah Hofmann
By: Sarah Hofmann Cybersäkerhet | 26 februari

DORA är en ny EU-förordning som syftar till att öka IT-säkerheten inom den finansiella sektorn, t.ex. banker, försäkringsbolag och värdepappersföretag.

En del av DORA-kraven är utbildning, som måste ges till alla i organisationen.

I det här inlägget ger vi dig en kort sammanfattning av DORA och hur du implementerar kraven på säkerhetsutbildning.

Vad är DORA?

DORA (som står för Digital Operational Resilience Act) är en ny EU-förordning som träder i kraft den 17 januari 2025. Den gäller för finanssektorn och syftar till att öka IT-säkerheten hos t.ex. banker, försäkringsbolag och värdepappersföretag.

De viktigaste kraven i DORA:

DORA kräver att finans- och ICT-leverantörer använder nya IT-säkerhetsstandarder relaterade till:

  • Riskhantering och styrning av ICT
  • Incidenthantering och rapportering
  • Testning av digital operativ motståndskraft
  • Riskhantering från tredje part

 

Utbildningskraven i DORA

Utbildningskraven i DORA är främst kopplade till målet "Test av digital operativ motståndskraft".

DORA kräver två olika typer av utbildning för alla anställda och ledande befattningshavare.

  • Utbildning i säkerhetsmedvetenhet
  • Utbildning i digital operativ motståndskraft

DORA säger också att varje anställd ska utbildas till en nivå som är relevant för deras roll.

DORA specificerar inte exakt vilken typ av utbildning som är tillräcklig för vilka anställda. Det är alltså upp till varje organisation att själv tolka exakt hur mycket utbildning av vilken typ varje medarbetare behöver.

Den högsta ledningen måste dock ha tillräckliga kunskaper om säkerhetsrisker och riskhanteringsåtgärder för att kunna övervaka organisationens DORA-arbete. Det här är ett exempel på en medarbetare som behöver en högre utbildningsnivå.

Vi kommer att dela upp de två typerna av utbildning härnäst.

Utbildning i säkerhetsmedvetenhet i DORA

Med DORA är organisationer skyldiga att skapa ett utbildningsprogram för säkerhetsmedvetenhet. Det innebär i korthet att alla anställda måste få allmän utbildning i säkerhetsmedvetenhet. Dessutom bör organisationer tillhandahålla specialutbildning för specifika anställda om mer komplexa, rollbaserade ämnen.

Allmän, rollbaserad utbildning för alla

Utbildningen ska vara relevant för varje medarbetare. Till exempel kan redovisningsteamet behöva mer utbildning om nätfiske, medan kundrelationsteamet kan behöva mer utbildning om vad man ska vara uppmärksam på när man arbetar utanför det traditionella kontoret.

Specialiserad, fördjupad utbildning för vissa

För andra roller, t.ex. ledande befattningshavare, kan det behövas mer utbildning. Ledningsgruppen har det yttersta ansvaret för att DORA implementeras inom organisationen. För att kunna göra detta på ett smidigt sätt kan medarbetare i ledande befattningar behöva utbildning om till exempel

  • Den juridiska sidan av DORA och de krav som det ställer på ledarskapet

  • Risk- och sårbarhetsbedömningar

  • Incidenthantering, kontinuitet i verksamheten och katastrofåterställning

  • Krishantering

  • Testning av applikationer och infrastruktur

  • Fysisk testning

  • Säkerhet i leveranskedjan

Denna utbildning kan ske genom workshops för anställda, scenariobaserad utbildning, e-learning eller vilken metod som helst som organisationen föredrar.

Utbildning i digital operativ motståndskraft i DORA

Digital operativ resiliens handlar om att bygga upp, testa och förbättra en organisations säkerhetsmässiga resiliens. DORA säger inte specifikt vad utbildning i digital operativ resiliens ska innehålla. Återigen är det helt upp till organisationen att avgöra vilken utbildningsnivå som är rätt för dem, baserat på deras riskprofil.

Vissa aspekter av utbildningen i digital operativ motståndskraft kan ingå i den rollspecifika utbildningen (ovan), t.ex. ledarskapsutbildning i ämnen som risk- och krishantering. Det kan också ske genom applikations-, infrastruktur- och fysiska tester av IT-system.

Utbildningen kan ske i form av workshops för medarbetarna, scenariobaserad utbildning, e-learning eller vilken metod du än föredrar.

Phishing-simuleringar är ett annat sätt att testa en organisations digitala motståndskraft. Phishing-utbildning ger organisationen en inblick i hur de skulle klara sig i en phishing-attack och ger dem områden att fokusera på för att förbättra sig. Dessa insikter bidrar till att göra en grundlig riskanalys/sårbarhetsbedömning, vilket är en viktig del av arbetet med DORA.

Hur CyberPilot kan hjälpa dig att uppfylla DORA:s utbildningskrav

Utbildning i medvetenhet

CyberPilots medvetandeutbildning ger er organisation den grund (och huvuddelen av innehållet) som behövs för att uppfylla utbildningskraven, genom att tillhandahålla kurser i säkerhetsmedvetenhet som kan distribueras i en rollbaserad utbildningsplan. Du kan se hela vår kurskatalog här (och vi publicerar något nytt varannan månad).

Vår befintliga kurskatalog innehåller mer än 30 kurser om IT-säkerhetsrisker, hur man hanterar dem och god digital praxis. Dessa kurser kan ges till alla anställda i organisationen för att öka medvetenheten och uppmuntra till goda digitala vanor. Specifika inlärningsvägar kan enkelt skapas för att skräddarsy utbildningen till olika roller, vilket DORA kräver.

Återigen är det helt upp till dig att bestämma nivån och omfattningen av kompletterande och rollbaserad utbildning som ges till anställda i specifika roller.

 

En kvinna testar gratis kurser i medvetenhet på sin dator

Utbildning i nätfiske

Vi rekommenderar också att man kombinerar utbildning i medvetenhet med utbildning i nätfiske. Med en phishing-utbildning kan en organisation testa sin digitala operativa motståndskraft (i förhållande till phishing-attacker). Detta förbättrar inte bara organisationens säkerhet, utan bidrar också till att uppfylla DORA:s krav. Med vår spear phishing-utbildning är det möjligt för våra kunder att skräddarsy dessa utbildningstillfällen för olika personalgrupper...

För att uppfylla DORA:s krav på "utbildning i operativ motståndskraft" kan vår phishing-utbildning ge dig insikter i och förbättra din organisations motståndskraft mot phishing-attacker.

 

Sammanfattningsvis

Genom att använda en kombination av medvetenhetsträning och phishingträning kommer du att vara en bra bit på väg mot att uppfylla DORA:s utbildningskrav. Det finns lite extra arbete att göra kring djupgående specialutbildning och testning av digital operativ motståndskraft. Du måste bestämma vilken utbildning som är rätt för dig baserat på din specifika riskprofil.

Du kan läsa mer om DORA här.
Back to blog
Recent articles
Medvetenhetsträning Vad Är Security Awareness Training? Hur du implementerar den effektivt

security awareness training skapar medvetenhet och stärker företagets säkerhet. training i cybersäkerhet kan även kombineras med GDPR-utbildning.

Søren Lassen Jensen 9 min read - By Søren Lassen Jensen
Medvetenhetsträning 7 fördelar med utbildning i säkerhetsmedvetenhet

Utforska de 7 viktigaste fördelarna med utbildning i säkerhetsmedvetenhet. Upptäck hur den skyddar data, utbildar ditt team och förbättrar din organisations cybersäkerhet.

Arooj Anwar 5 min read - By Arooj Anwar
Medvetenhetsträning, Cybersäkerhet CIS Controls V8: CIS 18 och hur man använder det i medvetenhetsträning

CIS Controls v8 har 18 säkerhetsåtgärder för att skydda din organisation. Se hur du uppfyller kraven på utbildning i säkerhetsmedvetenhet i kontroll 14.

Sarah Hofmann 13 min read - By Sarah Hofmann