DORA í framkvæmd – hvernig Advania styður fyrirtæki á fjármálamarkaði í nýju regluverki
Ný lög nr. 78/2025 um stafrænan viðnámsþrótt fjármálamarkaðar, sem innleiða DORA reglugerð Evrópusambandsins, marka þáttaskil í kröfum til fjármálafyrirtækja og þjónustuaðila þeirra hér á landi. Regluverkið gerir ríkar kröfur um skipulag, skjalfestingu og raunverulegt viðnámsþol upplýsinga og fjarskiptakerfa, með aukinni ábyrgð stjórnenda og skýrari væntingum til þjónustuaðila.
Hildur Sif Haraldsdóttir
yfirlögfræðingur Advania
Hjá Advania höfum við síðustu misseri unnið markvisst að DORA verkefni sem miðar að því að undirbúa bæði okkar eigin rekstur og viðskiptavini okkar fyrir þessar nýju og umfangsmiklu kröfur. Verkefnið byggir á þeirri sýn að traust, áreiðanleiki og stöðugleiki stafrænnar þjónustu séu lykilþættir í starfsemi fjármálageirans og forsenda þess að viðskiptavinir geti sinnt eigin hlítni af öryggi.
Að mati Advania mun innleiðing DORA og sambærilegra krafna, þar á meðal undir NIS2, óhjákvæmilega hafa áhrif á hvernig fyrirtæki horfa til rekstrar og ábyrgðar í stafrænum innviðum. Kröfurnar leggja aukna áherslu á formfestu, gagnsæi og styrka stjórnun áhættu, ekki síst þegar kemur að þjónustu sem er útvistuð til þriðju aðila. Í því samhengi teljum við að regluverkið skapi enn frekari hvata til þess að líta til útvistunar hjá þjónustuaðila sem hefur þegar aðlagað sig að þessum nýja veruleika. Upplýsingatæknifyrirtæki sem hafa innleitt viðeigandi stjórnunarkerfi, mótað skýra verkferla og geta veitt viðskiptavinum aðgang að skjalfestum upplýsingum um öryggi, viðnámsþrótt og aðfangakeðju, geta orðið lykilstoð í hlítni viðskiptavina við lög og reglur.
Tilgangur DORA verkefnisins
Megintilgangur DORA verkefnisins hjá Advania er að tryggja að fjármálafyrirtæki sem nýta sér þjónustu okkar hafi aðgang að skýrum, traustum og uppfærðum gögnum sem styðja við hlítni þeirra við lögin. DORA leggur m.a. áherslu á:
- formlega stjórnun upplýsingaöryggis,
- skráningu og viðbrögð við atvikum,
- rekstraráhrifagreiningar og endurreisnargetu,
- yfirsýn yfir aðfangakeðju og þriðju aðila,
- og prófanir á viðnámsþrótti.
Í stað þess að hvert fjármálafyrirtæki þurfi að afla þessara upplýsinga með sundurlausum hætti hefur Advania lagt áherslu á að gera viðeigandi skjölun aðgengilega á einum stað og með samræmdu sniði, í takt við kröfur DORA regluverksins.
DORA gögn aðgengileg á heimasíðu Advania
Á heimasíðu Advania eru nú aðgengileg sérstök DORA gögn fyrir fjármálafyrirtæki sem falla undir gildissvið laga nr. 78/2025, sem tóku gildi 1. janúar 2026. Gögnin eru ætluð til að nýtast viðskiptavinum í þeirra eigin áhættumati, samningsgerð, innra eftirliti og samskiptum við eftirlitsaðila.
Meðal þeirra gagna sem aðgengileg eru má finna:
Öryggisstefnu Advania, sem lýsir ramma upplýsingaöryggis í rekstri félagsins.
ISO/IEC 27001:2022 vottun á stjórnkerfi upplýsingaöryggis og tilheyrandi yfirlýsingu um nothæfi (Statement of Applicability).
Persónuverndarstefnu Advania.
Sérhæfð DORA skjöl, þar á meðal yfirlit yfir verklagsreglur um atvikastjórnun, rekstraráhrifagreiningar, endurreisnaráætlanir og prófanir.
Yfirlit yfir aðfangakeðju Advania í tengslum við gildissvið DORA, sem styður við kröfur um stjórnun þriðju aðila.
Drög að DORA viðaukasamningi, sem getur nýst viðskiptavinum við að uppfylla kröfur DORA um samninga við Advania sem þjónustuveitanda í upplýsingatækni.
Sum skjöl eru opin, á meðan önnur eru læst og aðgengileg eftir beiðni, í samræmi við eðli upplýsinganna.
.jpg)
Sambærileg skjölun fyrir NIS2 viðskiptavini Advania
Þrátt fyrir að DORA taki sérstaklega til fjármálafyrirtækja er ljóst að sambærilegar kröfur um net og upplýsingaöryggi munu ná til mun stærri hóps fyrirtækja með innleiðingu NIS2 tilskipunarinnar í íslensk lög á næstu misserum. Advania leggur ríka áherslu á að vera reiðubúið að styðja viðskiptavini sína einnig á þeirri vegferð.
Í kjölfar vinnu við DORA verkefnið mun Advania því gera sambærilega skjölun aðgengilega fyrir viðskiptavini félagsins sem falla undir NIS2, þegar tilskipunin hefur verið innleidd í íslensk lög. Markmiðið er hið sama og með DORA gögnin: að viðskiptavinir hafi skýran og áreiðanlegan aðgang að upplýsingum um öryggisstefnur, verklag, ábyrgðarskiptingu og aðfangakeðju sem styðja við þeirra eigin hlítni við löggjöfina.
Stuðningur við vegferð viðskiptavina
Markmið Advania með þessu framtaki er að einfalda og styrkja vegferð viðskiptavina í átt að fullri hlítni við regluverk Evrópusambandsins um netöryggi og viðnámsþrótt. Með því að veita aðgang að vandaðri skjölun, sem endurspeglar raunverulega innleiðingu innan Advania, geta viðskiptavinir:
- aflað sér nauðsynlegra gagna fyrir eigin áhættumat og eftirlit,
- stuðst við skjalfestar upplýsingar í samskiptum við eftirlitsaðila,
- og byggt upp traust samspil við þjónustuaðila í takt við skýrar kröfur löggjafarinnar.
Verkefnið er þannig ekki eingöngu hluti af innra öryggisstarfi Advania heldur einnig þjónusta sem styður fyrirtæki og stofnanir í að mæta breyttu regluverki af fagmennsku og festu.
DORA og NIS2 gera sérstaklega kröfu um markvissa stjórnun áhættu tengdri útvistun upplýsinga‑ og fjarskiptatækniþjónustu og kalla á aukið samspil milli fyrirtækja/stofnana og þjónustuaðila þeirra. Í því ljósi lítur Advania á það sem hluta af sínu hlutverki að vera ekki aðeins tæknilegur þjónustuaðili, heldur virkur þátttakandi í viðnámsþrótti og reglufylgni viðskiptavina.
Með því að byggja upp innri getu, innleiða kröfur DORA og NIS2 í eigin starfsemi og gera viðeigandi skjölun og upplýsingar aðgengilegar, teljum við hjá Advania að útvistun geti í auknum mæli orðið meðvituð stefnumótandi ákvörðun sem styður bæði rekstraröryggi og hlítni hjá viðskiptavinum sem þurfa að uppfylla kröfur í nýju landslagi í málefnum netöryggis.
Nánari upplýsingar og aðgang að DORA‑gögnum má finna hér á vefnum okkar.