DORA
Fra DORA-scoping til et motstandskraftsprogram tilsynet kan lese på ti minutter, tilpasset tier og avhengighetene dine.
DORA leser som en sjekkliste og kjøres som en enterprise-transformasjon. Jeg leder GRC-arkitekturarbeidet der tilsynet forventer en sammenhengende historie på tvers av Kapittel II, hendelsesrapportering og tredjepartsrisiko. Her er formen på et program som leverer den historien uten å gjøre driftsteamet ditt om til revisorer.
Hva vi leverer
-
Scoping mot DORAHvilken klasse finansforetak du er, hvilke artikler som gjelder, og hvilke forholdsmessighetsregler som er tilgjengelige for ditt nivå.
- Rammeverk for IKT-risikostyring
Kapittel II i praksis, fra styrets rolle og policy-stack ned til kontroller, kontinuitet og gjenoppretting.
- Hendelseshåndtering og rapportering
Klassifisering av store IKT-hendelser etter Artikkel 19, varslingsfrister mot Finanstilsynet, og maler som tåler en reell hendelse.
- Operasjonell motstandskraft-testing
Testprogram etter Artikkel 26. Aikido AI Pentest dekker løpende applikasjonssikkerhet. Der Artikkel 26(2) utløser krav om trusselledet penetrasjonstesting for virksomheter i målgruppen, scoper vi engasjementet og koordinerer en kvalifisert leverandør av røde lag.
- IKT-tredjepartsrisiko og informasjonsregister
Leverandørregisteret etter Artikkel 28, kontraktsklausuler, konsentrasjonsrisiko og avhengighet av kritiske tredjeparter.
- Styreoppfølging og eierskap
DORA gir styret et eksplisitt ansvar. Vi bygger beslutningskadensen, dokumentasjonen og rapporteringen som lar styret eie risikoen i praksis.
Slik leveres tjenesten
- I et prosjekt
Beredskapsanalyse mot DORA, gap-rapport og prioritert tiltaksplan, typisk fire til åtte uker.
- I en rolle hos kunden
DORA-programleder hos kunden i en avgrenset periode, til styret har et reelt rammeverk å rapportere på.
- Som del av en tjeneste
Inkludert i Secured by FM CyberSecurity for finansforetak under terskelen, sammen med ISO 27001 og NIS2.
Nylig innsikt om DORA
- Hva EUs Cyber Resilience Act er, og hvem den omfatter
CRA er en EU-lov som knytter cybersikkerhetskrav til CE-merket, så et produkt med digitale elementer ikke kan selges i EU uten å oppfylle dem.
- Hva ISO 27001 Lead Implementer-sertifisering betyr for prosjektet ditt
En Lead Implementer bygger styringssystemet deres, en Lead Auditor reviderer det. Ansetter dere feil rolle, stopper sertifiseringsprosjektet opp.
- SOC 2 compliance for norske SMB-er som selger til USA
SOC 2 kan vinne dere en amerikansk avtale, eller koste seks sifre dere ikke trengte. Slik ser dere forskjellen, og slik passer det med ISO 27001.