← All insights
Thought Leadership · Blog

DORA og styringsstrategier for cyberresiliens i 2025

Governance in the Age of DORA & Cyber Resilience Mandates

Seks måneder etter at Digital Operational Resilience Act (DORA) trådte i kraft, oppdaget finansinstitusjoner at det å bygge resiliens ikke bare handler om å krysse av regulatoriske bokser – det handler om å drive organisatorisk transformasjon. Forordningen omformer hvordan selskaper håndterer IKT-risiko, styrker den operasjonelle risikostyringen, responderer på hendelser og fører tilsyn med tredjepartsleverandører, og gjør resiliens til en strategisk prioritet snarere enn en samsvarsøvelse.

For CISO-er, risikoansvarlige og styringsfagfolk markerer dette øyeblikket et vendepunkt. Styring er ikke lenger en bakgrunnsfunksjon – det er ryggraden i digital resiliens. For mange avhenger det å oppnå regulatorisk samsvar i banksektoren nå av hvordan styringsstrukturer tilpasser seg. Denne bloggen utforsker hvorfor styring har inntatt hovedscenen under DORA, og hvordan institusjoner kan tilpasse strategiene sine for ikke bare å overholde, men å blomstre i den nye, resiliensdrevne æraen.

Hvorfor styring har inntatt hovedscenen

Styring har raskt blitt hjørnesteinen i digital resiliens under DORA. Forordningen krever at finansinstitusjoner etablerer robust tilsyn på tvers av fem nøkkelpilarer – IKT-risikostyring, krav til hendelsesrapportering, rammeverk for resilienstesting som trusselledet penetrasjonstesting (TLPT), tredjepartsrisiko og deling av trusseletterretning – og plasserer dermed styring i hjertet av samsvar og operasjonell resiliens (EIOPA).

Samtidig er implementeringsbyrden betydelig: studier viser at nesten halvparten av finansinstitusjonene investerer over 1 mill. € i samsvarsarbeid, mens 79 % av de ansatte rapporterer høyere stressnivåer knyttet til disse cyberresiliens-mandatene (TechRadar). Til sammen understreker dette presset hvorfor styringsstrukturer må utvikle seg – ikke bare for å møte regulatoriske frister, men for å opprettholde effektivitet, moral og langsiktig resiliens.

Hvordan implementere DORA-styring i finansinstitusjoner

DORA posisjonerer styring som ryggraden i digital resiliens og krever at institusjoner styrker tilsynet på tvers av disse fem områdene:

Tilsyn med IKT-risiko

Styring sikrer at IKT-risikorammeverk er styregodkjente, regelmessig oppdaterte og kontinuerlig overvåket (digital-operational-resilience-act.com, ESMA).

Ansvar for hendelsesrapportering

Klare protokoller, roller og klassifiseringsstrukturer er avgjørende for å møte DORAs strenge krav til hendelsesrapportering (EIOPA).

Testing av operasjonell resiliens (TLPT)

Styring garanterer at testsimuleringer utføres, dokumenteres, gjennomgås og følges av korrigerende tiltak (EIOPA).

Tilsyn med tredjepartsleverandører for DORA-samsvar

Tilsyn omfatter due diligence av leverandører, kontraktsmessige sikringer og løpende overvåking for å redusere eksponering fra eksterne leverandører (Skadden).

Informasjonsdeling og regulatorisk koordinering

Styring muliggjør et strukturert utveksling av cybertrusseletterretning med regulatorer og bransjekolleger, og forsterker det kollektive forsvaret (EIOPA).

Tidlige lærdommer – seks måneder ut i DORA

Seks måneder ut i håndhevingen har finansinstitusjoner gått fra forberedelse til daglig gjennomføring av DORA-kravene. Organisasjoner revurderer IKT-risikorammeverk, finjusterer protokoller for hendelsesrapportering og gjennomfører TLPT-øvelser for å validere resiliens under reelle forhold. Det som en gang var et samsvarsprosjekt, har nå blitt en operasjonell rutine, som forankrer cyberresiliens i finanssektoren i selve strukturen av tjenestene.

Reisen kommer imidlertid med betydelige utfordringer. Samsvar har vist seg kostbart, med selskaper som investerer millioner i styring, teknologi og opplæring. Samtidig har det økte tempoet i rapportering og tilsyn lagt press på de ansatte, og mange rapporterer om forhøyede stressnivåer. Disse realitetene understreker betydningen av gjennomtenkt styring – ikke bare for å møte europeiske cybersikkerhetsmandater, men også for å sikre at resiliensstrategier forblir bærekraftige for både organisasjoner og menneskene deres.

Viktige beste praksiser for styring i den nye æraen

Forankre resiliens i styringsstrukturene

Tildel ansvar på styre- og ledelsesnivå for resiliensmålinger, risikodashbord og testveikart.

Dokumenter og automatiser rapporteringsflyter

Bruk automatiserte arbeidsflyter og dashbord for å sikre at hendelsesrapportering er nøyaktig, konsistent og i tråd med DORAs tidslinjer.

Formaliser TLPT-styring

Følg testgjennomføring, funn, utbedringssteg og gjennomganger på styrenivå for å gjøre TLPT om til en strukturert styringsprosess.

Styrk styringen av tredjepartstilsyn

Etabler en formell styring av leverandørrisiko gjennom regelmessige vurderinger, kontraktsklausuler og løpende overvåkingsdashbord.

Legg til rette for etterretningsutveksling

Implementer en strukturert styring for deling av cyberetterretning med regulatorer og bransjekolleger, og bygg beredskap for utvidede mandater som NIS2-samsvar og Cyber Resilience Act (CRA).

Styringsmodeller å vurdere

Komité for resiliensstyring

  • Består av interessenter fra Risiko, IT, Compliance og Juridisk.
  • Sentraliserer beslutningstaking og sikrer en konsistent operasjonalisering av DORA-mandatene.
  • Gir et forum for tverrfunksjonelt ansvar og samordning.

Dashbord for cyberresiliens

  • Følger nøkkelmålinger som TLPT-beredskap, oppetid for hendelsesrapportering, risikovurderinger av tredjeparter og resultater fra stresstester.
  • Gir styrer og ledere sanntidsinnsyn for å ta datadrevne styringsbeslutninger.
  • Øker åpenheten og nøyaktigheten i regulatorisk rapportering.

Styringsdrevet opplæring og kultur

  • Samkjører retningslinjer, bevisstgjøringsprogrammer og rollebasert opplæring med resiliensmål.
  • Forsterker en resiliens-først-kultur og sikrer at de ansatte forstår sitt ansvar.
  • Bygger organisatorisk beredskap til å tilpasse seg utviklende mandater som NIS2 og CRA.

Veien videre: styring møter en virkelighet med flere mandater

Regulatorisk konvergens

DORA er bare én del av det større bildet. Organisasjoner må forberede seg på overlappende mandater som NIS2-samsvar, Cyber Resilience Act (CRA) og bredere finansregulering i EU. Dette krever styringsmodeller som er skalerbare, tilpasningsdyktige og harmonisert på tvers av flere europeiske cybersikkerhetsmandater.

KI og automatisering forsterker styringen

Fremtidssikker styring baserer seg på automatisering og KI-drevne verktøy som muliggjør kontinuerlig overvåking, automatisert varselorkestrering og proaktiv håndheving av retningslinjer. Disse innovasjonene hjelper institusjoner med å gå fra reaktiv samsvar til proaktiv resiliens, og reduserer både operasjonell risiko og samsvarskostnader.

Konklusjon

DORA har redefinert styring fra å være en støttefunksjon til å bli den strategiske ryggraden i digital resiliens. Institusjoner som proaktivt forankrer resiliens i styringsstrukturene sine – gjennom ansvar, automatisering, tredjepartstilsyn og informasjonsdeling – vil ikke bare oppnå samsvar, men også styrke tillit, smidighet og langsiktig konkurranseevne. Den virkelige muligheten ligger i å bevege seg forbi en «kryss av boksene»-tilnærming og omfavne styring som en driver av resiliens, innovasjon og vekst.

Hvordan tilpasser du styringspraksisene dine for å møte DORA eller lignende mandater? Kan en vurdering av styringsberedskap bidra til å sette i gang reisen din mot sterkere resiliens?