Kravene i DORA forordningen kan virke uoverskuelige, især for virksomheder, der ikke tidligere har arbejdet struktureret med informationssikkerhed. Nøglen er at vide, at processen er lige så vigtig som resultatet. Det handler ikke kun om EU-regler for reglernes skyld, men om at sikre virksomheden kerneforretning, fordi risikolandskabet bliver stadig mere komplekst.
DORA (Digital Operational Resilience Act) er på mange måder en milepæl i reguleringen af cybersikkerhed og operationel robusthed i den finansielle sektor. "DORA er ikke bare en liste af krav, der skal krydses af. Det er en mulighed for at tænke din virksomhed på nye måder og sikre, at du står stærkere – både internt og i forhold til dine kunder og partnere," forklarer Frans Skovholm, advokat og partner ved DAHL Advokatpartnerselskab med speciale i compliance.
Hvad er DORA og NIS2 og hvem berører det?
DORA er en EU-regulering, der har til formål at styrke den digitale modstandsdygtighed i den finansielle sektor og i enhedernes leverandørkæder. Selvom mange forbinder DORA med finansielle virksomheder, er den en del af NIS2 reguleringen, som rækker langt bredere ud og omfatter aktører i sektorer som IT, energi, sundhed og transport. Ifølge NIS2 vil alle virksomheder, der arbejder med kritisk infrastruktur eller som leverandører til større aktører, direkte eller indirekte mærke kravene i NIS2.
"Finanssektoren har haft flere årtiers erfaring med stramme reguleringer, men for mange andre virksomheder er dette et helt nyt landskab. Det kan virke overvældende, men det handler om at fokusere på det, der gør den største forskel først," understreger Skovholm.
DORA handler om at skabe kontinuitet. Kan I som virksomhed fortsætte driften under en cyberhændelse? Kan I bevise, at jeres systemer og processer er robuste? Og kan I garantere, at jeres leverandører lever op til samme høje standarder? Det er kernen i reguleringen.
DORA som strategisk løftestang
Selvom DORA kan virke som en regulering, der primært skaber ekstra arbejde, er der også klare strategiske fordele ved at tage den seriøst. Virksomheder, der bruger compliance som en del af deres strategi, kan opnå en stærkere position i markedet.
"DORA er en chance for at vise dine kunder og partnere, at du er på forkant. Robusthed og sikkerhed bliver stadig vigtigere differentieringsfaktorer, og de virksomheder, der tager det alvorligt, vil få en klar konkurrencefordel," siger Skovholm.
For mange virksomheder både store og små kan DORA virke som en næsten uoverstigelig opgave. Men meget af kompleksiteten ligger i det grundlæggende skift, reguleringen kræver: En overgang fra ad hoc-tilgange til sikkerhed og drift til en integreret og dokumenteret praksis.
"DORA handler ikke kun om teknik. Det handler om governance og at kunne tænke sikkerhed og robusthed som en del af virksomhedens kultur og forretningsstrategi. Det kræver både strategisk ledelse og praktisk implementering at opbygge en struktur, der holder på lang sigt. Til gengæld er det faktisk ikke så uoverskueligt at komme godt i gang, som man kan forestille sig, men alliér dig tidligt med en konsulent, der kan hjælpe med at vurdere hvor kraftigt, I skal tage fat fra start," understreger Frans Skovholm.
En proces, der styrker din virksomhed
DORA er en mulighed for at bygge en mere robust og bæredygtig virksomhed. Ved at starte småt, men tænke stort, kan du skabe en struktur, der ikke kun lever op til kravene, men også skaber værdi på tværs af din organisation og forsyningskæde.
"Det vigtigste er at komme i gang. Når først processen er i gang, opdager mange, at de rykker hurtigere og mere effektivt, end de havde troet muligt," afslutter Skovholm.
Sådan kommer du godt i gang med DORA
At tage de første skridt mod DORA-compliance handler om at fokusere på det væsentlige og skabe en realistisk plan. Ifølge Skovholm er det vigtigste at starte et sted og sikre, at hele organisationen er med på rejsen.
- Definér ambitionsniveauet
Ikke alle virksomheder skal ligge i frontlinjen. Overvej, hvor I skal placere jer i forhold til kunder og konkurrenter, og vær realistisk om, hvad I kan opnå på kort og lang sigt. "DORA er ikke et One-size-fits-all-regulativ. Det kræver, at man forstår sin egen position i markedet og sætter et ambitionsniveau, der giver mening," siger Skovholm. - Skab interne rammer
Compliance er ikke kun en IT-opgave. Det handler om governance, risikostyring og organisatorisk ansvar. Sørg for at opbygge en struktur, hvor ansvarsområder er tydeligt defineret, og hvor ledelsen er involveret. - Dokumentation som en løbende proces
Dokumentation er ikke noget, man gør én gang. Det kræver systemer og rutiner, der sikrer, at alle beslutninger og hændelser bliver registreret og kan genskabes ved behov. - Test og lær undervejs
Regelmæssig testning af beredskabsplaner og procedurer er afgørende for at sikre, at de fungerer i praksis.
Live webinar
DORA i praksis: IT-outsourcing og compliance
Hør om praktiske erfaringer med DORA compliant IT-outsourcing. Få inspiration til hvilke overvejelser, du skal gøre dig ved valg af IT-leverandører, og hvordan du former den rette strategi for risikohåndtering for din virksomhed.
Se webinaret og få indsigt i hvordan Sentia og ENVO IT sammen har formet en managed private cloud-løsning til det skandinaviske credit asset management selskab Capital Four Management Fondsmæglerselskab A/S.
Kontakt vores eksperter!
Vil du vide mere? Kontakt vores eksperter og få svar på dine spørgsmål.
