DORA flytter IKT-sikkerhed fra "noget IT-afdelingen har styr på" til noget, der skal kunne dokumenteres og revideres. For mange finansielle virksomheder betyder det, at intern revision, ekstern revisor og tilsynet i højere grad vil bede om beviser — ikke beskrivelser. For den overordnede ramme, se vores DORA-side.

Hvad DORA betyder for revision

Et gennemgående tema i DORA er dokumenterbar kontrol. Forordningen kræver, at IKT-risikostyringen er på plads, fungerer og kan eftervises. Det ændrer revisionens fokus: det er ikke nok at have en politik, der beskriver, hvordan tingene bør være. Revisor vil se, at processen faktisk kører — og at der er spor, der beviser det.

Hvad revisorer og tilsyn typisk efterspørger

På tværs af IKT-revisioner går nogle spørgsmål igen. For den del, der handler om aktiver og kryptografi, er det ofte:

  • Et aktuelt overblik over IKT-aktiver. Hvilke systemer og aktiver har I, og er listen komplet og opdateret?
  • Bevis for, at kontroller kører. Overvåges tingene reelt, og er der spor — logs, alarmer, rapporter — der viser det over tid?
  • En dokumenteret risikovurdering. Har I forholdt jer til de konkrete risici, med kontroller og restrisiko beskrevet?
  • Styring af tredjepartsrisiko. Kan I vise, at leverandørernes systemer indgår i risikobilledet?

Det fælles træk: revisor vil have evidens, der er produceret løbende — ikke samlet sammen ugen før besøget.

Certifikater i revisionssammenhæng

TLS-certifikater er et godt eksempel på, hvor konkret kravet bliver. Certifikater er både IKT-aktiver og kryptografiske kontroller, og de er forholdsvis enkle at revidere imod — enten har I et komplet register, eller også har I ikke. Et register, der kan trækkes med en dato på, sammen med dokumenteret TLS-konfiguration og en alarmhistorik, er præcis den slags evidens, en revisor kan forholde sig til. For en bredere gennemgang af, hvad revisorer tjekker, se certifikatrevision: hvad revisorerne tjekker.

Er en IKT-sikkerhedspolitik nok til at opfylde DORA?

Nej. DORA kræver, at IKT-risikostyringen er på plads, fungerer og kan eftervises — det er ikke nok at have en politik, der beskriver, hvordan tingene bør være. Revisor vil se, at processen faktisk kører, og at der er spor, der beviser det.

Kan man samle dokumentationen sammen lige før en DORA-revision?

Det er ikke meningen. Det fælles træk på tværs af IKT-revisioner er, at revisor vil have evidens, der er produceret løbende — ikke samlet sammen ugen før besøget. Derfor vægter DORA spor som logs, alarmer og rapporter, der viser kontrollen over tid.

Sådan leverer CertControl revisionsklar certifikatdokumentation

CertControl er bygget til at producere den løbende evidens, en DORA-revision lægger vægt på:

  • Komplet certifikatregister. Automatisk opbygget og opdateret — det aktivoverblik, revisor beder om.
  • Dokumenteret TLS- og cipher-grading. Beviser for de kryptografiske kontroller, ikke kun en antagelse.
  • Audit-log og alarmhistorik. Spor for, at overvågningen reelt kører over tid.
  • Automatiske rapporter. Executive- og driftsrapporter, der bygges løbende — ikke reaktivt.
Relaterede artikler