Hur upprätthåller man digital motståndskraft i en föränderlig värld där hot, sårbarheter och risker är vardag?

Nyheter | Publicerings datum 7 okt 2024

Träffas du av penningtvättslagstiftningen är det vanligt att ha ett bra systemstöd till sin hjälp för att motverka penningtvätt.

Sandra Madstedt ansvarar för Softronics SaaS-tjänst CM1 som motverkar penningtvätt och finansiering av terrorism. Sen en tid tillbaka är det lagstiftning på plats för att uppnå digital motståndskraft (DORA; Europaparlamentets och rådets förordning 2022/2554 14 december 2022) och som senast ska efterlevas i januari 2025. DORA ställer höga krav på finansiella bolag och också tydliga och höga krav på IKT*-leverantörer där en tjänst som CM1 bedöms som kritisk och omfattas av krav utifrån kriterierna kritisk IKT-leverantör.

Sandra Madstedt säger:
– CM1 är en säker och motståndskraftig tjänst som möjliggör ett komplett systemstöd för den AML-kontroll ett företag behöver göra på privat- och företagskunder. Men för att fortsätta vara säker och motståndskraftig så behövs strategiskt ledningsarbete och operativ förankring.

”Är vi exponerade så är våra kunder exponerade”

Hon fortsätter:
– Arbetet med att motverka penningtvätt och finansiering av terrorism ska vara riskbaserat.

Utöver att arbetet ska vara riskbaserat så ställs det i penningtvättslagstiftningen krav på att:
• Upprätta en allmän riskbedömning
• Ha rutiner och riktlinjer på plats
• Säkerställa utbildning av personal
• Inhämta och uppdatera kundkännedom
• Riskklassificering
• Övervakning
• Rapportering till Finanspolisen vid misstanke om penningtvätt och/eller finansiering av terrorism

Samverkan är viktigt

För att uppfylla dessa krav och effektivisera sitt arbete behöver de flesta samverka och dela samt ge uppgifter vilket alltför ofta innebär en exponering av tredjepartsrisk.

Det är alltså inte bara arbetet med att motverka penningtvätt och finansiering av terrorism som behöver riskhanteras utan DORA ställer tydligt krav på en enhetlig struktur för helhetsgrepp på effektiv riskhantering.


– Ambitionen med DORA är att öka motståndståndskraften i finanssektorn. I DORA tittar man på en verksamhetsförmåga kopplat till IT- och cybersäkerhet och framför allt sett till tredjepartsrisker för att uppnå kontroll över hela värdekedjan, säger Sandra Madstedt.

”Ambitionen med DORA är att öka motståndståndskraften i finanssektorn. Både penningtvättslagstiftningen och DORA ställer krav på riskhantering och att kontinuerligt monitorera risk samt proaktivitet för att bibehålla motståndskraft”

Inom DORA så är det fem områden som är centrala:
• IKT-riskhantering
• Rapportering av IKT-relaterade incidenter
• Test av digitalt försvar
• Riskhantering av tredjepartsleverantörer
• Informationsdelning

För att minimera IKT-riskerna så behöver systemstöden vara motståndskraftiga och det behöver finnas tydliga avtal mellan kund och leverantör som kravställer vilken dokumentation som ska vara på plats, hur övervakning sker och vilka förebyggande åtgärder som görs för att upprätthålla motståndskraft. Det behöver också finnas kontrollmekanismer i avtalen som reglerar vad för krav som ställs och vilka konsekvenserna blir om kraven inte följs.

– Att exempelvis testa systemets exponering genom sårbarhetstestning/penetrationstestning är en sådan viktig sak. En annan är att säkerställa att kontinuitet av tjänsten testas regelbundet, säger Sandra Madstedt.

För att upprätthålla och efterleva DORA-lagstiftningen och erbjuda en säker tjänst till kund behöver banker och finansiella institut göra följande:
– Ta fram styrande dokument och policys för att upprätthålla regelefterlevnad
– Tydliggör leverantörskedjan och ansvaret. Du som IKT-leverantör ansvarar för dina underleverantörer
– Definiera en tydlig risktolerans för din verksamhet
– Ta fram KPI:er så att trend och eventuell avvikelse kan dokumenteras och actions kan tas.
– Uppdatera kundavtalen för att säkerställa regelefterlevnad
– Utbilda och förankra operativt
– Säkerställ att tester av kritiska tillämpningar genomförs och dokumenteras.

I CM1 arbetar vi mycket i organisationen med att förankra processer och riktlinjer. Årligen håller kvalitetsansvarig utbildning i GDPR och vid upprepade tillfällen under året repeteras nuläget sett till säkerhetsläget i Sverige och globalt.
– Det är viktigt att arbeta både strategiskt och operativt med säkerheten. Är vi exponerade så är våra kunder exponerade, säger Sandra Madstedt.

Sandra Madstedt avslutar:
– Det är viktigt att olika roller och med olika ögon omvärldsbevakar säkerhetsområdet och ser till vilka justeringar som bör göras för att vidmakthålla god motståndskraft.

*Information, Kommunikation, Teknik

Artikeln är skriven för Tidningen Compliance Nytt och finns digitalt här!