DORA-forordningen stiller krav til samarbejde på tværs af C-suiten

EU's Digital Operational Resilience Act (DORA) har til formål at styrke den europæiske finansielle sektors modstandsdygtighed, afstemme eksisterende lovgivning om digital operativ modstandsdygtighed, fremme integrationen af information og kommunikationsteknologiske (IKT) risici inden for overordnede risikostyringspolitikker og sikre gennemsigtighed med hensyn til IKT-tredjepartsudbydere. Da det gælder for stort set alle virksomheder i den finansielle sektor i Europa, så vil DORA ændre intern drift markant, nye krav til operationel og IKT-opbygning samt behov for træning og opkvalificering af medarbejdere.

DORA-forordningen gør sig også gældende for virksomheder udenfor EU, der tilbyder it-tjenester til finansielle virksomheder i EU.

Overholdelse af DORA-forordningen er et fælles ansvar

Virksomheder i den finansielle sektor er i kapløb mod tiden

Fra den 17. januar 2025 skal virksomheder i den finansielle sektor leve op til kravene i DORA-forordningen, og C-Suiten inden for finanssektoren skal derfor handle hurtigt. Nedenfor har vi beskrevet, hvilke opgaver de respektive roller bør varetage.

Chief Executive Officers (CEO’er)

CEO’er vil have en afgørende rolle i at sikre, at virksomheden overholder reglerne i DORA-forordningen. CEO'er bør betragte DORA som en mulighed for strategisk transformation og bør sikre en tværgående implementering på tværs af virksomheden. Det indebærer, at der skal være samarbejde og koordination på tværs af afdelinger og niveauer for at sikre en effektiv og helhedsorienteret implementering af DORA. CEO'en skal give vejledning til alle relevante interessenter i virksomheden og bør være informeret om, hvad andre involverede parter forventer i forbindelse med implementeringen af DORA i organisationen. Da operationelle sikkerhedsudfordringer bliver mere synlige gennem DORA, skal CEO'en afveje de forskellige muligheder og risici, der er involveret i hele transformationen, især når det kommer til outsourcing af IKT-tjenester.

Chief Risk Officers (CRO’er)

CRO’er skal integrere og kvantificere en virksomheds IKT-risici på en helhedsorienteret måde og sikre, at de er en del af den overordnede risikovurdering sammen med andre eksisterende risici. CRO'er skal også evaluere interne og eksterne risici, såsom omdømme- og juridiske risici, i tilfælde af, at et større cyberangreb eller operationel hændelse finder sted. Dette vil typisk involvere et tæt samarbejde med compliancefunktionen for at sikre, at der tages højde for alle risici.

Chief Operating Officers (COO’er)

COO'er skal gennemgå eksisterende processer og gennemgå eksisterende IKT-outsourcing kæder med henblik på at afstemme operationel robusthed med effektivitet og langsigtede muligheder for skalering.

Chief Information Officers (CIO’er)

CIO'er spiller en nøglerolle i at udføre den indledende tværgående risikovurdering og evaluering i starten af implementeringen af DORA-forordningen. En CIO skal afgøre, hvordan virksomhedens IKT-landskab kan forenkles samtidig med at den operationelle robusthed øges, og hvordan mere sikre løsninger kan opnås. I sidste ende er CIO'en bindeleddet mellem virksomhedens IKT-afdeling og C-Suite-ledelsen, og DORA giver mulighed for at udfordre den nuværende IKT-situation, forbedre den overordnede IKT-styring, re-designe IKT-arkitektur og serviceniveauer. 

Chief Information Security Officers (CISO’er)

Chief Information Security Officers (CISOs) har ansvaret for at identificere og vurdere alle cybersikkerhedsrelaterede risici, informere virksomhedens ledelse om de kendte risici og udarbejde planer til håndtering af truslerne. CISO'er skal også uafhængigt vurdere den virksomhedsomfattende risikobehandlingsplan, som CIO'en udarbejder, samt bidrage til udviklingen af risikominimeringsstrategien for virksomheden og sikre digital operationel robusthed ved at udføre regulatoriske kontroller og tests. Endelig skal CISO'er informere virksomhedens ledelse om både angreb og større sårbarheder og uddanne dem om IKT- og sikkerhedstemaer. Som modtræk bør ledelsen bidrage til udviklingen af den ønskede driftsmodel og sikre, at virksomhedens cybersikkerhed får tilført de nødvendige ressourcer.

Hvis virksomheder i den finansielle sektor ikke lever op til kravene i DORA-forordningen inden for den fastsatte tidsfrist, kan det medføre betydelige konsekvenser – enten i form af store bøder, omdømme eller endda kriminelle anklager. I stedet for at betragte det som en udfordring, så bør finansielle virksomheder se det som en mulighed for at styrke deres digitale operationelle robusthed og proaktivt forberede sig på kommende reguleringer vedrørende andre aspekter af den digitale verden, nemlig kunstig intelligens.

Få hjælp til at leve op til de nye krav i DORA-forordningen

Vi er klar til at assistere jer med at transformere jeres virksomhed i overensstemmelse med DORA. Vores team af eksperter kan hjælpe jer med at håndtere alle de regulatoriske krav, der er forbundet med operationel robusthed og IKT-sikkerhed, både på nationalt og internationalt plan.