Sedan början av 2023 har många bolag inom finanssektorn påbörjat implementeringen av EU-förordningen DORA, som ska reglera och stärka den digitala motståndskraften hos företag inom den finansiella sektorn. För många finansiella institut innebär det att man behöver se över sina processer för riskhantering och IT-säkerhet. Vi stämde träff med Daniel Cederhierta, Chief Information Security Officer (CISO) på SaaS-bolaget Trapets, för att diskutera hur de som både leverantör och beställare jobbar med DORA, samt vilka dörrar som regelverket öppnar.
Daniel Cederhierta har arbetat på Trapets i sju år, och kommer sedan tidigare från en bakgrund inom bank och IT. Han har under sin tid på Trapets byggt upp en tech-ops avdelning och ansvarar även för bolagets tekniska support. I sin roll som CISO, har han ett mer övergripande ansvar för bolagets informationssäkerhet.
– I vår bransch har utförliga säkerhetsrutiner gått från nice to have till must have, berättar Daniel.
Daniel Cederhierta
CISO, Trapets
Trapets hjälper sina kunder med regelefterlevnad inom framförallt den finansiella sektorn. I uppdraget ingår att leverera mjukvara och hantera mycket kunddata. Daniel beskriver hur synen på cybersäkerhet och digital motståndskraft skiftat under de år som han jobbat på Trapets. En kombination av nya regelverk på området samt en ökad förståelse för riskerna har gjort kraven på Trapets som underleverantör större än någonsin, någonting som välkomnas av bolaget.
– Vi är vana att jobba med informationssäkerhet, och har alltid sett det som en konkurrensfördel. Inom ramen för ISO 27001 har vi länge arbetat med de här frågorna, och med DORAs inträde kommer vi att skapa ännu mer tydlighet i vårt arbete med digital motståndskraft. Vi har extensiva återställningsplaner på plats för samtliga produkter, och kör regelbundet tester av dessa. Dessa kommer vi nu sammanföra med de återkommande säkerhetstesterna som genomförs. Att slå ihop delar av säkerhetsarbetet skapar en tydlighet och tyngd som vi kanske inte kunnat få om vi gjorde allt separat.
Trapets har även ett helt ledningssystem för informationssäkerhet, som det är högsta prioritet att hålla intakt. Man testar och utvärderar mycket, och har dedikerade roller och ansvarsområden för just det arbetet. Man har också en bred omvärldsbevakning där man tar fram rapporter som kunderna i sin tur kan ta del av. Daniel menar att en central del för att lyckas med implementeringen av DORA är att regelverket inte får stanna på IT-avdelningen, utan måste kommuniceras ut till hela bolaget.
När det kommer till DORA är Trapets ett bolag i mitten. Man har från ett håll hårda krav på sig från kunder, men ställer även krav själv på sina leverantörer. Samtidigt är Trapets också själva reglerade. Detta kräver enligt Daniel ett strukturerat arbete, där man alltid börjar i riskdelen och därifrån gör bedömningar, tester och dokumenteringar. Utan tydlig struktur menar Daniel att det blir svårare att kravställa eller rapportera korrekt till sin tillsynsmyndighet.
– En av de största utmaningarna är att det är svårt att hitta en bra kravställning som standard, eftersom det ofta ser olika ut beroende på kund. Det innebär att vi ofta gör en egen analys av varje specifik kunds behov och skapar rutiner för att möta dem. Utöver kundens krav behöver vi också täcka upp myndigheters och våra egna krav.
Trapets har, i egenskap av tjänsteleverantör, tillgång till mycket av sina kunders data. Det kan till exempel röra sig om en banks kundinformation, och annan känslig data. Daniel menar att just den aspekten, att datan ligger utanför bolaget, kan avskräcka många från att ta hjälp av en tjänsteleverantör. Därför ser han positivt på regelverk som till exempel DORA.
– Ju fler regelverk som reglerar oss och våra säkerhetsprotokoll, desto enklare blir det för våra kunder att kravställa och känna sig trygga. Jag förstår verkligen att det för många bolag, framförallt de som sitter på mycket känslig data, kan kännas osäkert att outsourca så kritiska delar av verksamheten. Men jag skulle säga att det är en minst lika stor risk att plocka hem det internt. Om man anlitar en leverantör som man har gjort en utförlig due diligence på, kan man få tillgång till specialistkompetens som kanske hade varit svårare att hitta internt.
