Jan Jans, der er jurist i afdelingen finansiel cybersikkerhed i Finanstilsynet, holder intet mindre end 2 spændende indlæg på konferencen Cybersikkerhed i den finansielle sektor den 20. & 21. september. Han kommer blandt andet omkring tredjepartsstyring, implementering, compliance og RTS’er på området i forhold til den kommende DORA-forordning.
Inden konferencen kan du læse et spændende interview med Jan her.
Hvad er din baggrund og professionelle erfaring med cybersikkerhed? og hvordan arbejder du med cybersikkerhed til daglig?
Jeg er jurist og har siden min studietid arbejdet med it- og cyber-området. På universitetet har jeg suppleret de juridiske fag med datalogi. Efter min uddannelse har jeg arbejdet med både jura og it. Opgaverne indenfor digitalisering, it-udvikling og internationalt samarbejde har fyldt meget, sideløbende med de juridiske fagområder, med EU-ret som et af de gennemgående områder. I perioder har arbejdet ført til it-udvikling, it-projektledelse, systemdesign, programmering og konkret it-drift, it-sikkerhed og dermed også cybersikkerhed.
De seneste år har DORA været omdrejningspunkt for mit daglige arbejde. Der har været en længere forberedelse i EU og medlemslandene op til Kommissionens første forordningsforslag. Da forslaget blev stillet begyndte forhandlingerne om indholdet, samtidig med vores forberedelser af den lovgivningsmæssige og praktiske implementering. Lige nu medvirker jeg og mine kolleger til at udarbejde RTS’er mv. i medfør af DORA, gennem arbejdsgrupper tilknyttet de europæiske tilsynsmyndigheder. Vi deltager også i arbejdet i den fælles EU-komité, som har ansvaret for at implementere DORA-forordningen. Samtidig arbejder jeg med andre dygtige og erfarne jurister i Finanstilsynet, på de omfattende ændringer i den danske lovgivning, som skal tilpasse vores regelsæt til både DORA-forordningen og NIS 2-direktivet.
Hvilke udfordringer og muligheder ser du som de største inden for cybersikkerhed i den finansielle sektor lige nu?
Stigende afhængighed af it-infrastruktur betyder stigende cyberrisici. Den finansielle sektor er i store træk digitaliseret og den finansielle it er kritisk for samfundet. For store dele af den finansielle sektor har der været en serie af nye regler om it-risikostyring og outsourcing at forholde sig til. Det sker i en periode, hvor trusselsbilledet ændrer sig hurtigt. DORA-forordningen og de gennemførende retsakter bør give både virksomheder og myndigheder en periode med noget mere stabilitet i reguleringen. Vi har længe ventet på, at regelsættet for finanssektorens cybersikkerhed bliver ensrettet på tværs af finanssektoren og på tværs af EU-medlemslandene. Den nye retstilstand kan for eksempel betyde, at det bliver nemmere for virksomhederne at opbygge og udveksle ekspertise på området. DORA-forordningen vil også betyde, at finanssektoren bliver ramt af færre af EU’s nye lovgivningsinitiativer på cyberområdet, f.eks. NIS 2-direktivet, CER-direktivet og den kommende Cyber Resilience Act.
Hvad holder dig vågen om natten i forhold til cybersikkerhed i den finansielle sektor?
De væsentligste cyberrisici i forhold til den finansielle sektors egen infrastruktur skal nok findes på området for drift af betalingsinfrastruktur. I et samfund, hvor næsten alle betalinger er digitale, skal betalingsinfrastrukturen helst virke uden udfald. Sektoren gør et stort arbejde på området, og Folketinget og regeringen har i flere år prioriteret det højt. Det er sket med den danske lovgivning om it-operatører af detailbetalingssystemer, som trådte i kraft 1. januar 2022, og det er kommet til udtryk ved prioriteringen af arbejdet for, at betalingssystemer også bliver omfattet af DORA-forordningen, så snart det bliver muligt. Heldigvis har mange andre EU-medlemslande den samme opfattelse af problemstillingen. Den kommende danske lovgivning som følge af DORA og NIS2 ventes også at styrke indsatsen på området.
Et andet væsentligt risikoområde – også for finanssektoren – er databeskyttelse, hvor lovgivningen bliver udfordret af forretningsmodeller, der indebærer videregivelse af persondata ved brug af cloudbaseret infrastruktur. DORA-forordningen kan også påvirke rammerne for cloudanvendelsen i finanssektoren, men der er stadig usikkerhed om den konkrete udmøntning af forordningen.
Hvordan ser fremtiden ud for cybersikkerhed? Hvad tror du der kommer af udfordringer og muligheder?
Kvantecomputere og kunstig intelligens udgør nok de største nye udfordringer og nye muligheder på samme tid. Før eller siden vil kvantecomputere kunne omgå kryptering, som i dag anses for sikker. Den form for omvæltninger sker erfaringsmæssigt før man regner med. Kvantecomputere og kunstig intelligens – og kombinationen af de to – vil sandsynligvis intensivere kapløbet om cybersikkerhed mellem sikkerhedsfolk og trusselsaktører, både i og udenfor den finansielle sektor.
Hvad taler du om på konferencen cybersikkerhed i den finansielle sektor og hvad håber du, deltagerne får ud af det?
Der er afsat tid til to oplæg fra mig på konferencen, og den taletid vil jeg bruge til at gå lidt mere i dybden med nogle af de emner, der er blevet spurgt ind til efter tidligere konferencer. Det vil bl.a. være det væsentlige fokusområde i DORA, som handler om styring af tredjepartsrisici, men emnerne bliver også governance, test, cloud og hvordan implementeringen stiller datacentralerne i forhold til NIS 2-direktivet og DORA. Arbejdet med RTS’er mv. skrider også frem og jeg håber at kunne komme med det seneste nyt om det også.
Hvad er dine egne forventninger til konferencen og hvad glæder du dig til?
Det er altid spændende at høre nye indsigter om hvor den finansielle sektors cybersikkerhed er på vej hen. Det er væsentligt for mig og mine kolleger i Finanstilsynet, at følge udviklingen på området tæt. Jeg glæder mig især til, at få spørgsmål og feedback på reguleringen, at høre om problemstillingerne fra virksomhedernes perspektiv og i det hele taget, at komme i dialog med deltagerne. Erfaringen viser at vi alle sammen vil få ny og nyttig viden med hjem.
Vil du gerne høre mere om DORA-forordning af Jan Jans?
Så er det altså konferencen Cybersikkerhed i den finansielle sektor den 20. & 21. september, du skal være med på. Du kan se frem til intet mindre end 2 spændende indlæg fra Jan Jans om Dora-forordningen og implementeringen. Læs mere om konferencen og tilmeld dig her.