Finanssektoren er i økende grad avhengig av digitale systemer og eksterne IT-leverandører. Når noe svikter – enten det skyldes teknisk feil, cyberangrep eller menneskelig feil – kan konsekvensene bli store. Derfor har EU innført DORA-forordningen (Digital Operational Resilience Act), som skal styrke den digitale motstandskraften i hele finansnæringen.

DORA stiller krav til hvordan virksomheter planlegger, forebygger, oppdager, håndterer og lærer av IKT-relaterte hendelser. Målet er å sikre kontinuitet, beskytte kundedata og redusere risiko for driftsavbrudd i en sektor som er kritisk for samfunnet.

Regelverket gjelder fra januar 2025 og omfatter banker, forsikringsselskaper, fondsforvaltere, betalingsforetak – og også mange av deres IKT-leverandører.
For mange virksomheter betyr dette skjerpede krav til oversikt, dokumentasjon, samt styring og kontroll av tilganger. Det handler ikke bare om å ha gode systemer, men å kunne vise at man har kontroll gjennom innsikt i egne data.

Hvordan Bsure hjelper bedrifter med å møte kravene

Bsure kobler seg til Microsoft Entra ID og gir en oppdatert og brukervennlig oversikt over den delen av IT-miljøet ditt. Flere av funksjonene våre støtter direkte opp under kravene i DORA-forordningens artikler om IKT-risikostyring, tilgangskontroll og tredjepartsstyring.

1. Brukere og tilgang

DORA-krav: Tilgangsstyring skal baseres på prinsippene om minst mulig tilgang og dokumentert kontroll.

• Hvem som har tilgang til systemene dine

• Brukere uten aktivert flerfaktorautentisering (MFA)

• Inaktive eller utdaterte kontoer

• Gjestebrukere og eksterne tilganger

• Brukere med administrative rettigheter

• Servicekontoer og applikasjoner – inkludert hvilke rettigheter de har og hvorfra de logger seg på

Mange tror de har god kontroll på brukertilgang og MFA fordi policyen sier at alle nye kontoer skal ha MFA, men tenker ikke altid på at det gamle on-prem AD-et ofte er synkronisert opp i skyen – med gamle kontoer, ubrukte grupper og servicekontoer som ble opprettet før denne policyen kom. Hvordan fanger man opp det? Det gir et uoversiktlig og sårbart utgangspunkt.

2. Applikasjoner og lisensbruk

DORA-krav: Virksomheter må ha oversikt over systembruk og sikre at IKT-ressurser benyttes på en kontrollert måte.

• Hvilke applikasjoner som er i bruk

• Hvem som bruker dem – og hvordan

• Feilbrukte eller ubrukte lisenser

Mange virksomheter har langt flere applikasjoner integrert i Entra ID enn de tror – inkludert tredjepartsapper som ansatte har lagt til selv med egne rettigheter. Det er ofte uklart hvilke data disse appene har tilgang til – eller hvem som faktisk bruker dem og hvor data behandles.

3. Enheter

DORA-krav: Alle enheter knyttet til virksomhetens nettverk skal overvåkes og kontrolleres som en del av IKT-risikostyringen.

• Hvilke enheter som er i bruk og hvem bruker dem

• Operativsystemer og siste brukstidspunkt

• Utdaterte eller potensielt sårbare enheter

Enheter som én gang har koblet seg til Entra ID, blir ofte stående som “aktive” i oversikten – selv om de ikke har vært brukt på mange måneder. Dette gir et feilaktig bilde av sikkerhetsstatus og kan skjule reelle sårbarheter.

4. Dokumentasjon og oppfølging

DORA-krav: Risikostyring og sikkerhetstiltak skal dokumenteres og kunne verifiseres.

• Dokumentere tilgangsstyring og sikkerhetsstatus

• Avdekke og følge opp risikoer

• Dele relevant innsikt med ledelse, revisjon og tilsynsmyndigheter

Det er lett å anta at dokumentasjon er på plass så lenge tiltakene er “beskrevet”, men ofte mangler koblingen til faktisk gjennomføring og løpende oppfølging. Uten kontinuerlig innsikt og verifisering blir sikkerhetsarbeidet vanskelig å etterprøve.

Hva Bsure dekker – og hva du fortsatt trenger å løse selv

Bsure Insights er en praktisk løsning for å få kontroll på bruker-, enhets- og applikasjonsnivået, som er en viktig del av DORA. Men for å oppfylle hele regelverket kreves også andre tiltak og systemer. Her er noen områder der du fortsatt trenger å supplere:

• Hendelsesrapportering til myndigheter (krever egne rapporteringssystemer og rutiner)

• Testing av operasjonell motstandskraft (f.eks. penetrasjonstester fra godkjente aktører)

• Kontinuitetsplaner og gjenoppretting (backup, failover, kriseplaner, etc.)

• Styring av kontrakter og avtaler med IKT-leverandører (f.eks. SLA-er, kontraktinnhold)

• Sikker deling av trusselinformasjon (plattformer for samarbeid mellom aktører)

DORA er et omfattende regelverk, men det trenger ikke være komplisert å komme i gang. Bsure hjelper deg med det grunnleggende: å få innsikt, rydde opp og redusere risiko i virksomhetens digitale infrastruktur – på en praktisk og effektiv måte.

Hvordan Bsure støtter spesifikke krav i DORA

Bsure bidrar til etterlevelse av flere av kravene i DORA, inkludert disse artiklene:

• Artikkel 5–15: IKT-risikostyring - Bsure gir løpende innsikt i brukertilgang, inaktive kontoer og enheter - Bidrar til overvåking og dokumentasjon av kritiske komponenter

• Artikkel 16: Rapportering av IKT-hendelser - Bsure gir grunnlagsdata for å identifisere og følge opp hendelser

• Artikkel 23–30: Tredjepartsrisiko - Bsure gir innsikt i applikasjoner og tilhørende rettigheter fra eksterne parter

• Artikkel 6 og 9: Tilgangskontroll og dokumentasjon - Bsure hjelper med å identifisere svakheter i tilgangsstyringen og gir grunnlag for revisjon og tilsyn

Kort oppsummert – hva Bsure dekker og ikke dekker

Bsure hjelper deg med:

• Oversikt over brukere, tilgang, roller og MFA-status

• Innsikt i aktive og inaktive enheter

• Applikasjoner og integrasjoner koblet til bedriftens Entra ID

• Dokumentasjon av sikkerhetsstatus og forbedringsområder

• Identifisere risiko knyttet til gamle kontoer og skyggesystemer

Du trenger fortsatt å løse med andre tiltak:

• Rapportering av alvorlige IKT-hendelser til myndigheter

• Krise- og kontinuitetsplaner med backup og failover

• Avanserte penetrasjonstester og teknisk motstandstest

• Detaljert oppfølging av kontrakter og leverandører

• Deling av trusselinformasjon mellom virksomheter