For virksomheder, der allerede er i gang med at implementere kravene i DORA (Digital Operational Resilience Act), begynder de næste faser at melde sig. Fra at have lagt fundamentet for compliance handler det nu om at finjustere processer, gennemgå dokumentation og sikre, at beredskabsplanerne holder i praksis. Samtidig er det tid til at tænke fremad: Hvordan forbereder du din organisation på kommende krav og udnytter DORA som en strategisk løftestang?
"DORA er ikke kun en regulering. Det er en ny måde at tænke robusthed og sikkerhed på. For virksomheder, der allerede har taget de første skridt, handler det om at optimere og styrke den interne forankring," forklarer Frans Skovholm, advokat og partner ved DAHL Advokatpartnerselskab med speciale i compliance.
DORA: Fra omkostning til konkurrencefordel
Når compliance bliver en integreret del af din forretning, kan det også være en konkurrencefordel. Kunder og partnere lægger i stigende grad vægt på robusthed og sikkerhed som kriterier for samarbejde.
"DORA kan hjælpe virksomheder med at positionere sig som pålidelige og sikre partnere. Det handler om at vende reguleringen fra at være en omkostning til at være en investering i tillid og langsigtet værdi," siger Skovholm.
For virksomheder, der allerede har taget de første skridt, er det nu tid til at gå dybere og sikre, at processerne ikke bare opfylder kravene, men også skaber værdi for organisationen.
"At være i compliance betyder ikke bare at krydse krav af på en tjekliste. Det handler om at skabe en løbende proces, hvor virksomhedens robusthed hele tiden forbedres, og hvor du har styr på både dine egne systemer og dine leverandørers sikkerhedsniveauer," siger Skovholm.
Fra registrering til operationelt værktøj
Dokumentation er hjørnestenen i DORA, men det er ikke nok blot at registrere beslutninger og risikovurderinger. For at skabe reel værdi skal dokumentationen være operationel og kunne bruges aktivt som styringsværktøj. Det betyder, at den skal være konsekvent, opdateret og nem at tilgå for alle relevante interessenter.
"Dokumentation er ikke en statisk disciplin. Det er en levende proces, der skal kunne tilpasses og udvikles i takt med både interne ændringer og eksterne krav," siger Skovholm.
Stil skarpt på leverandørstyring
For mange virksomheder er afhængigheden af tredjeparter en integreret del af driften. DORA stiller skrappe krav til, at virksomheder ikke blot stoler på deres leverandører, men aktivt dokumenterer, at disse lever op til samme høje standarder. Det kræver faste procedurer for evaluering, skriftlige kontrakter og løbende monitorering af leverandørernes sikkerheds- og driftsstandarder.
"Du kan ikke tage leverandørernes ord for gode varer. Du skal kunne dokumentere deres compliance på samme niveau som din egen. Det kræver en struktureret tilgang til leverandørstyring," forklarer Frans Skovholm.
Test beredskabsplanerne
En plan, der aldrig er testet, er kun en hypotese. I denne fase er det afgørende at stress-teste virksomhedens beredskabsplaner gennem simulationer af cyberangreb, tekniske nedbrud eller andre kritiske hændelser. Det sikrer ikke kun, at planerne fungerer, men også at medarbejderne ved, hvordan de skal handle i pressede situationer.
"Testning er en del af god governance. Det handler om at finde huller og træne organisationen, så alle ved, hvad deres rolle er, når det virkelig gælder," siger Skovholm
Fra compliance til konkurrencekraft
DORA er en del af en større bølge af EU-reguleringer, der stiller øgede krav til cybersikkerhed og governance. Fremtidige reguleringer som AI-forordningen og yderligere krav til databeskyttelse og bæredygtighed er allerede på vej. Virksomheder, der forbereder sig nu, vil stå stærkere i mødet med nye krav.
"Vi ser en tydelig tendens til, at regulatorer ønsker mere ansvar placeret hos virksomhedens ledelse og højere krav til dokumentation af risikobaserede tilgange. Virksomheder, der allerede er i gang med DORA, har en unik mulighed for at tage førertrøjen," siger Skovholm.
For virksomheder, der allerede har lagt fundamentet for DORA, er næste skridt at styrke og optimere processerne. Fra dybdegående dokumentation og leverandørstyring til regelmæssig testning og fremtidige krav er der stadig meget at gøre – men også meget at vinde.
"DORA er ikke en afsluttet opgave, men en løbende rejse. Det vigtigste er at have de rette systemer, ressourcer og strategier på plads, så du kan navigere komplekse krav og samtidig bruge dem som en styrke for din forretning," afslutter Frans Skovholm, advokat og partner ved DAHL Advokatpartnerselskab med speciale i compliance.
Live webinar
DORA i praksis: IT-outsourcing og compliance
Deltag og hør om praktiske erfaringer med DORA compliant IT-outsourcing. Få inspiration til hvilke overvejelser, du skal gøre dig ved valg af IT-leverandører, og hvordan du former den rette strategi for risikohåndtering for din virksomhed.
Tilmeld dig den 6. marts 2025 kl. 13:00, og hør hvordan Sentia og ENVO IT sammen har formet en managed private cloud-løsning til det skandinaviske credit asset management selskab Capital Four Management Fondsmæglerselskab A/S.
Kontakt vores eksperter!
Vil du vide mere? Kontakt vores eksperter og få svar på dine spørgsmål.
