Seks måneder efter at Digital Operational Resilience Act (DORA) trådte i kraft, opdagede finansielle institutioner, at det at opbygge resiliens ikke kun handler om at sætte kryds i regulatoriske felter – det handler om at drive organisatorisk transformation. Forordningen omformer, hvordan virksomheder håndterer IKT-risici, styrker den operationelle risikostyring, reagerer på hændelser og fører tilsyn med tredjepartsleverandører, og gør resiliens til en strategisk prioritet snarere end en overholdelsesøvelse.

For CISO’er, risikoansvarlige og styringsfagfolk markerer dette øjeblik et vendepunkt. Styring er ikke længere en baggrundsfunktion – den er rygraden i digital resiliens. For mange afhænger det at opnå regulatorisk overholdelse i banksektoren nu af, hvordan styringsstrukturer tilpasser sig. Denne blog udforsker, hvorfor styring er rykket i centrum under DORA, og hvordan institutioner kan tilpasse deres strategier for ikke blot at overholde, men trives i den nye, resiliensdrevne æra.

Hvorfor styring er rykket i centrum

Styring er under DORA hurtigt blevet hjørnestenen i digital resiliens. Forordningen kræver, at finansielle institutioner etablerer robust tilsyn på tværs af fem nøglesøjler – IKT-risikostyring, krav til hændelsesrapportering, rammeværker for resilienstest såsom trusselsledet penetrationstest (TLPT), tredjepartsrisiko og deling af trusselsefterretning – og placerer dermed styring i hjertet af overholdelse og operationel resiliens (EIOPA).

Samtidig er implementeringsbyrden betydelig: undersøgelser viser, at næsten halvdelen af de finansielle institutioner investerer over 1 mio. € i overholdelsesarbejde, mens 79 % af medarbejderne rapporterer højere stressniveauer knyttet til disse cyberresiliens-mandater (TechRadar). Tilsammen understreger dette pres, hvorfor styringsstrukturer skal udvikle sig – ikke kun for at overholde regulatoriske frister, men for at opretholde effektivitet, moral og langsigtet resiliens.

Sådan implementerer du DORA-styring i finansielle institutioner

DORA positionerer styring som rygraden i digital resiliens og kræver, at institutioner styrker tilsynet på tværs af disse fem domæner:

Tilsyn med IKT-risici

Styring sikrer, at IKT-risikorammeværker er bestyrelsesgodkendte, regelmæssigt opdaterede og løbende overvågede (digital-operational-resilience-act.com, ESMA).

Ansvar for hændelsesrapportering

Klare protokoller, roller og klassifikationsstrukturer er afgørende for at opfylde DORA’s strenge krav til hændelsesrapportering (EIOPA).

Test af operationel resiliens (TLPT)

Styring garanterer, at testsimuleringer udføres, dokumenteres, gennemgås og følges af korrigerende handlinger (EIOPA).

Tilsyn med tredjepartsleverandører for DORA-overholdelse

Tilsynet omfatter due diligence af leverandører, kontraktmæssige sikringer og løbende overvågning for at reducere eksponeringen fra eksterne leverandører (Skadden).

Informationsdeling og regulatorisk koordinering

Styring muliggør en struktureret udveksling af cybertrusselsefterretning med regulatorer og branchekolleger og forstærker dermed det kollektive forsvar (EIOPA).

Tidlige erfaringer – seks måneder inde i DORA

Seks måneder inde i håndhævelsen er finansielle institutioner gået fra forberedelse til den daglige udførelse af DORA-kravene. Organisationer revurderer IKT-risikorammeværker, finjusterer protokoller for hændelsesrapportering og gennemfører TLPT-øvelser for at validere resiliens under virkelige forhold. Det, der engang var et overholdelsesprojekt, er nu blevet en operationel rutine, der forankrer cyberresiliens i den finansielle sektor i selve strukturen af tjenesterne.

Rejsen kommer dog med betydelige udfordringer. Overholdelse har vist sig at være bekostelig, idet virksomheder investerer millioner i styring, teknologi og uddannelse. Samtidig har det øgede tempo i rapportering og tilsyn lagt pres på medarbejderne, og mange rapporterer forhøjede stressniveauer. Disse realiteter understreger betydningen af gennemtænkt styring – ikke kun for at opfylde europæiske cybersikkerhedsmandater, men også for at sikre, at resiliensstrategier forbliver bæredygtige for både organisationer og deres mennesker.

Vigtige bedste praksisser for styring i den nye æra

Forankr resiliens i styringsstrukturerne

Tildel ansvar på bestyrelses- og ledelsesniveau for resiliensmålinger, risikodashboards og testkøreplaner.

Dokumentér og automatisér rapporteringsstrømme

Brug automatiserede arbejdsgange og dashboards for at sikre, at hændelsesrapportering er nøjagtig, konsistent og i tråd med DORA’s tidslinjer.

Formalisér TLPT-styring

Følg testudførelse, fund, udbedringstrin og gennemgange på bestyrelsesniveau for at gøre TLPT til en struktureret styringsproces.

Styrk styringen af tredjepartstilsyn

Etabler en formel styring af leverandørrisiko gennem regelmæssige vurderinger, kontraktklausuler og løbende overvågningsdashboards.

Facilitér efterretningsudveksling

Implementer en struktureret styring for deling af cyberefterretning med regulatorer og branchekolleger, og opbyg parathed til udvidede mandater som NIS2-overholdelse og Cyber Resilience Act (CRA).

Styringsmodeller at overveje

Komité for resiliensstyring

• Består af interessenter fra Risiko, IT, Compliance og Jura.
• Centraliserer beslutningstagningen og sikrer en konsistent operationalisering af DORA-mandaterne.
• Giver et forum for tværfunktionelt ansvar og afstemning.

Dashboard for cyberresiliens

• Følger nøglemålinger som TLPT-parathed, oppetid for hændelsesrapportering, risikovurderinger af tredjeparter og resultater fra stresstests.
• Giver bestyrelser og ledelser realtidsindsigt til at træffe datadrevne styringsbeslutninger.
• Forbedrer gennemsigtigheden og nøjagtigheden i regulatorisk rapportering.

Styringsdrevet træning og kultur

• Afstemmer politikker, oplysningsprogrammer og rollebaseret træning med resiliensmål.
• Forstærker en resiliens-først-kultur og sikrer, at personalet forstår deres ansvar.
• Opbygger organisatorisk parathed til at tilpasse sig udviklende mandater som NIS2 og CRA.

Fremad: styring møder en virkelighed med flere mandater

Regulatorisk konvergens

DORA er kun én del af det bredere billede. Organisationer skal forberede sig på overlappende mandater såsom NIS2-overholdelse, Cyber Resilience Act (CRA) og bredere EU-finansregulering. Dette kræver styringsmodeller, der er skalerbare, tilpasningsdygtige og harmoniserede på tværs af flere europæiske cybersikkerhedsmandater.

AI og automatisering forstærker styringen

Fremtidssikret styring bygger på automatisering og AI-drevne værktøjer, der muliggør løbende overvågning, automatiseret alarmorkestrering og proaktiv håndhævelse af politikker. Disse innovationer hjælper institutioner med at skifte fra reaktiv overholdelse til proaktiv resiliens og reducerer både operationelle risici og overholdelsesomkostninger.

Konklusion

DORA har redefineret styring fra at være en støttefunktion til at blive den strategiske rygrad i digital resiliens. Institutioner, der proaktivt forankrer resiliens i deres styringsstrukturer – gennem ansvar, automatisering, tredjepartstilsyn og informationsdeling – vil ikke kun opnå overholdelse, men også styrke tillid, agilitet og langsigtet konkurrenceevne. Den reelle mulighed ligger i at bevæge sig ud over en „sæt-kryds-i-felterne“-tilgang og omfavne styring som en drivkraft for resiliens, innovation og vækst.

Hvordan tilpasser du dine styringspraksisser for at opfylde DORA eller lignende mandater? Kunne en vurdering af styringsparathed hjælpe med at sætte gang i din rejse mod stærkere resiliens?