Hvor begynder man en DORA-implementering?

Et naturligt startpunkt er et komplet overblik over IKT-aktiver, herunder certifikater og systemer. Uden at vide hvad I har, kan hverken risikovurdering, beskyttelse eller hændelsesrespons gennemføres troværdigt. Derfra laves en gap-analyse mod DORA's fem søjler.

Hvad er den hyppigste forhindring i DORA-implementering?

Manglende overblik. Mange virksomheder kan beskrive deres processer på papir, men har svært ved at fremvise et aktuelt, fuldstændigt register over IKT-aktiver — og dermed dokumentere, at kontrollerne reelt kører. Aktivoverblikket er fundamentet for resten.

DORA-implementering: Sådan kommer finansielle virksomheder i gang

DORA har fundet anvendelse, og for mange finansielle virksomheder er spørgsmålet ikke længere "hvad kræver forordningen", men "hvor begynder vi". Denne guide giver en praktisk rækkefølge — med certifikatstyring som et af de mest konkrete steder at starte. For den overordnede ramme, se vores DORA-side.

1. Start med et IKT-aktivoverblik

Næsten alt i DORA bygger på at vide, hvad I har. Risikovurdering, beskyttelse, hændelsesrespons og test forudsætter alle et aktuelt overblik over IKT-aktiver. Certifikater er et godt sted at begynde, fordi de er konkrete, målbare og ofte uoverskuelige i forvejen: et komplet register over alle TLS-certifikater — interne som eksterne, egne som leverandørers — er både et hurtigt resultat og et fundament for resten. Se principperne i TLS-certifikatoversigt.

2. Lav en gap-analyse mod de fem søjler

Med overblikket på plads kan I holde jeres nuværende praksis op mod DORA's fem søjler og finde hullerne. For hver søjle: hvad har vi, hvad mangler vi, og hvad er dokumenteret? En struktureret gennemgang af DORA's krav søjle for søjle gør det lettere at prioritere indsatsen efter risiko frem for efter, hvad der er nemmest.

3. Få styr på tredjepartsleverandørerne

IKT-tredjepartsrisiko er en af de søjler, der oftest kræver mest arbejde, fordi den involverer parter uden for organisationen. Byg et register over leverandøraftaler, vurdér kritikaliteten, og etablér løbende overvågning. For certifikaternes vedkommende betyder det at medtage de leverandørsystemer, der kører på jeres domæner — de er en del af jeres sikkerhedspostur, uanset hvem der driver dem.

4. Byg dokumentation og test ind løbende

DORA belønner dokumenterbar, vedvarende kontrol — ikke et øjebliksbillede skabt til en revision. Indret derfor processerne, så dokumentationen genereres løbende: aktivregistre, der opdateres automatisk, alarmer der logges, og rapporter der bygges hen ad vejen. Det samme gælder test: gentagne sårbarhedsvurderinger fanger svag TLS-konfiguration og udløbne certifikater, før de bliver til hændelser.

En praktisk rækkefølge

For de fleste virksomheder giver det mening at tage det i denne rækkefølge: (1) etablér aktivoverblikket, startende med certifikater; (2) lav gap-analysen mod de fem søjler; (3) luk de største huller i risikostyring og tredjepart først; (4) automatisér dokumentation og overvågning, så kontrollen vedligeholder sig selv. Pointen er at gøre arbejdet vedvarende — ikke en engangsøvelse op til en deadline.

Sådan hjælper CertControl med certifikatdelen

Certifikater er det oplagte sted at vise hurtigt fremskridt i en DORA-implementering. CertControl leverer:

Hurtigt aktivoverblik. Et komplet certifikatregister opbygges automatisk via Certificate Transparency-logs og scanning — uden manuel kortlægning.
On-premise agent til interne systemer. Også certifikater bag firewall kommer med i registret, uden indgående forbindelser.
Løbende overvågning og alarmer. TLS-grading og tidlige udløbsadvarsler holder kontrollen i live mellem revisioner.
Dokumentation, der bygges hen ad vejen. Automatiske rapporter og en audit-log udgør det vedvarende bevis, DORA-tilsyn lægger vægt på.

Relaterede artikler

DORA: Krav, søjler og certifikatstyring → DORA-krav: Oversigt over de fem søjler → Hvad er DORA-forordningen? →

Se DORA-oversigten Book en gennemgang