Hvad efterspørger revisorer under DORA?

Typisk dokumentation for, at IKT-risikostyringen reelt kører: et aktuelt overblik over IKT-aktiver, beviser for overvågning og kontroller, dokumenteret risikovurdering og styring af tredjepartsrisiko. Det afgørende er, at kontrollen kan fremvises løbende — ikke kun beskrives i en politik.

Hvordan indgår certifikater i en DORA-revision?

TLS-certifikater er IKT-aktiver og kryptografiske kontroller. Et komplet certifikatregister, dokumenteret TLS-konfiguration, alarmhistorik og en audit-log udgør konkret bevis for, at en del af IKT-risikostyringen er på plads og fungerer over tid.

DORA revisionskrav: Hvad revisorer og tilsyn forventer

DORA flytter IKT-sikkerhed fra "noget IT-afdelingen har styr på" til noget, der skal kunne dokumenteres og revideres. For mange finansielle virksomheder betyder det, at intern revision, ekstern revisor og tilsynet i højere grad vil bede om beviser — ikke beskrivelser. For den overordnede ramme, se vores DORA-side.

Hvad DORA betyder for revision

Et gennemgående tema i DORA er dokumenterbar kontrol. Forordningen kræver, at IKT-risikostyringen er på plads, fungerer og kan eftervises. Det ændrer revisionens fokus: det er ikke nok at have en politik, der beskriver, hvordan tingene bør være. Revisor vil se, at processen faktisk kører — og at der er spor, der beviser det.

Hvad revisorer og tilsyn typisk efterspørger

På tværs af IKT-revisioner går nogle spørgsmål igen. For den del, der handler om aktiver og kryptografi, er det ofte:

Et aktuelt overblik over IKT-aktiver. Hvilke systemer og aktiver har I, og er listen komplet og opdateret?
Bevis for, at kontroller kører. Overvåges tingene reelt, og er der spor — logs, alarmer, rapporter — der viser det over tid?
En dokumenteret risikovurdering. Har I forholdt jer til de konkrete risici, med kontroller og restrisiko beskrevet?
Styring af tredjepartsrisiko. Kan I vise, at leverandørernes systemer indgår i risikobilledet?

Det fælles træk: revisor vil have evidens, der er produceret løbende — ikke samlet sammen ugen før besøget.

Certifikater i revisionssammenhæng

TLS-certifikater er et godt eksempel på, hvor konkret kravet bliver. Certifikater er både IKT-aktiver og kryptografiske kontroller, og de er forholdsvis enkle at revidere imod — enten har I et komplet register, eller også har I ikke. Et register, der kan trækkes med en dato på, sammen med dokumenteret TLS-konfiguration og en alarmhistorik, er præcis den slags evidens, en revisor kan forholde sig til. For en bredere gennemgang af, hvad revisorer tjekker, se certifikatrevision: hvad revisorerne tjekker.

Sådan leverer CertControl revisionsklar certifikatdokumentation

CertControl er bygget til at producere den løbende evidens, en DORA-revision lægger vægt på:

Komplet certifikatregister. Automatisk opbygget og opdateret — det aktivoverblik, revisor beder om.
Dokumenteret TLS- og cipher-grading. Beviser for de kryptografiske kontroller, ikke kun en antagelse.
Audit-log og alarmhistorik. Spor for, at overvågningen reelt kører over tid.
Automatiske rapporter. Executive- og driftsrapporter, der bygges løbende — ikke reaktivt.

Relaterede artikler

DORA: Krav, søjler og certifikatstyring → DORA-krav: Oversigt over de fem søjler → DORA for banker: Hvad overholdelse kræver →

Se DORA-oversigten Book en gennemgang