Finanssektorn blir alltmer beroende av digitala system och externa IT-leverantörer. När något går snett – vare sig det beror på tekniskt fel, cyberattack eller mänskligt fel – kan konsekvenserna bli betydande. Därför har EU infört DORA-regleringen (Digital Operational Resilience Act), som syftar till att stärka den digitala motståndskraften inom hela finansindustrin. DORA ställer krav på hur företag planerar, förhindrar, upptäcker, hanterar, och lär av händelser relaterade till IKT. Målet är att säkerställa kontinuitet, skydda kunddata och minska risken för driftstörningar i en sektor som är kritisk för samhället.

Regleringen träder i kraft i januari 2025 och omfattar banker, försäkringsbolag, fondförvaltare, betalningsinstitut – och även många av deras IKT-leverantörer. För många företag innebär detta strängare krav på övervakning, dokumentation och åtkomstkontroll. Det handlar inte bara om att ha bra system, utan även att kunna visa att man har kontroll genom insikt i sin egen data.

Hur Bsure hjälper företag att uppfylla kraven

Bsure ansluter till Microsoft Entra ID och ger en uppdaterad och användarvänlig översikt av den delen av din IT-miljö. Flera av våra funktioner stödjer direkt kraven i DORA:s artiklar om IKT-riskhantering, åtkomstkontroll och hantering av tredje part.

1. Användare och åtkomst

DORA-krav: Åtkomsthantering ska baseras på principerna om minst åtkomst och dokumenterad kontroll.

• Vem som har åtkomst till dina system

• Användare utan aktiverad multifaktorautentisering (MFA)

• Inaktiva eller föråldrade konton

• Gästanvändare och extern åtkomst

• Användare med administratörsrättigheter

• Servicekonton och applikationer – inklusive vilka rättigheter de har och varifrån de loggar in

Många tror att de har bra kontroll över användaråtkomst och MFA eftersom policyn säger att alla nya konton ska ha MFA, men tänker ofta inte på att den gamla lokala AD:n ofta synkroniseras upp till molnet – med gamla konton, oanvända grupper och servicekonton skapade innan denna policy trädde i kraft. Hur fångar du det? Det skapar en oklar och sårbar utgångspunkt.

2. Applikationer och licensanvändning

DORA-krav: Företag måste ha en översikt över systemanvändning och säkerställa att IKT-resurser används på ett kontrollerat sätt.

• Vilka applikationer som används

• Vem som använder dem – och hur

• Felaktigt använda eller oanvända licenser

Många företag har betydligt fler applikationer integrerade i Entra ID än de tror – inklusive tredjepartsappar som anställda själva har lagt till med egna rättigheter. Det är ofta oklart vilka data dessa appar har tillgång till – eller vem som faktiskt använder dem och var datan behandlas.

3. Enheter

DORA-krav: Alla enheter som är anslutna till företagets nätverk ska övervakas och kontrolleras som en del av IKT-riskhanteringen.

• Vilka enheter som används och av vem

• Operativsystem och senaste användningstidpunkt

• Föråldrade eller potentiellt sårbara enheter

Enheter som en gång har kopplats till Entra ID förblir ofta "aktiva" i översikten – även om de inte har använts på många månader. Detta ger en felaktig bild av säkerhetsstatusen och kan dölja verkliga sårbarheter.

4. Dokumentation och uppföljning

DORA-krav: Riskhantering och säkerhetsåtgärder ska dokumenteras och kunna verifieras.

• Dokumentera åtkomsthantering och säkerhetsstatus

• Identifiera och följa upp risker

• Dela relevanta insikter med ledning, revision och tillsynsmyndigheter

Det är lätt att anta att dokumentationen är på plats så länge åtgärderna är "beskrivna", men ofta saknas kopplingen till faktisk implementering och pågående uppföljning. Utan kontinuerlig insikt och verifiering blir säkerhetsarbetet svårt att bekräfta.

Vad Bsure täcker – och vad du fortfarande behöver lösa själv

Bsure Insights är en praktisk lösning för att få kontroll på användar-, enhets- och applikationsnivå, vilket är en viktig del av DORA. Men för att uppfylla hela regleringen krävs även andra åtgärder och system. Här är några områden där du fortfarande behöver komplettera:

• Incidentrapportering till myndigheter (kräver egna rapporteringssystem och rutiner)

• Testning av operativ motståndskraft (t.ex. penetrationstester från godkända aktörer)

• Kontinuitetsplaner och återhämtning (backup, failover, krisplaner, etc.)

• Hantering av kontrakt och avtal med IKT-leverantörer (t.ex. SLA, avtalsinnehåll)

• Säker delning av hotinformation (plattformar för samarbete mellan aktörer)

DORA är en omfattande reglering, men det behöver inte vara komplicerat att komma igång. Bsure hjälper dig med grunderna: få insikt, städa upp och minska risken i ditt företags digitala infrastruktur – på ett praktiskt och effektivt sätt.

Hur Bsure stödjer specifika krav i DORA

Bsure bidrar till efterlevnad av flera av kraven i DORA, inklusive dessa artiklar:

• Artiklar 5–15: IKT-riskhantering - Bsure ger pågående insikt i användaråtkomst, inaktiva konton och enheter - Bidrar till övervakning och dokumentation av kritiska komponenter

• Artikel 16: Rapportering av IKT-incidenter - Bsure tillhandahåller grunddata för att identifiera och följa upp incidenter

• Artiklar 23–30: Tredjepartsrisk - Bsure tillhandahåller insikt i applikationer och associerade rättigheter från externa parter

• Artiklar 6 och 9: Åtkomstkontroll och dokumentation - Bsure hjälper till att identifiera svagheter i åtkomsthanteringen och ger en grund för revision och tillsyn

Sammanfattning – vad Bsure täcker och inte täcker

Bsure hjälper dig med:

• Översikt över användare, åtkomst, roller och MFA-status

• Insikt i aktiva och inaktiva enheter

• Applikationer och integrationer anslutna till företagets Entra ID

• Dokumentation av säkerhetsstatus och förbättringsområden

• Identifiera risker kopplade till gamla konton och skugga-IT

Du måste fortfarande lösa med andra åtgärder:

• Rapportering av allvarliga IKT-incidenter till myndigheter

• Kris- och kontinuitetsplaner med backup och failover

• Avancerad penetrationstestning och teknisk motståndskraftstestning

• Detaljerad kontrakt- och leverantörsuppföljning

• Delning av hotinformation mellan företag