Centrale DORA-indsigter fra praksis

I de tidlige faser af de fleste DORA-programmer har finansielle institutioner en tendens til at betragte compliance som en regulatorisk forpligtelse – en nødvendig omkostning snarere end en strategisk mulighed. Denne tankegang er især udbredt på ledelsesniveau. Med tiden ændrer denne opfattelse sig dog. Som en national tilsynsmyndighed udtrykker det:

“Det er lige så vigtigt at have sin kapital i orden som at have sin robusthed på plads. Og så bemærker man, at virksomhederne skal lære dette. Det man stadig ser er, at mange virksomheder griber DORA an på gammeldags vis. Så meget fokus på politik, men kun lidt oversættelse til handling. Den slags.”

Denne erkendelse markerer ofte et vendepunkt, hvor DORA går fra at være en afkrydsningsøvelse til at blive en katalysator for forbedret servicepålidelighed og kundetillid.

En almindelig faldgrube er en traditionel, politik-tung tilgang med begrænset operationel implementering. Mange organisationer udarbejder omfattende rammeværk, men formår ikke at integrere dem meningsfuldt i de daglige systemer og arbejdsgange.

DORA-compliance står sjældent alene. Det kører ofte sideløbende med bredere initiativer som cloud-migrering, datakonsolidering og digital transformation. Men disse indsatser bevæger sig ikke altid i samme tempo. I nogle tilfælde accelererer organisationer deres cloud-adoption, mens datakvaliteten eller procesmodenheden halter bagefter. Resultatet er en kløft mellem tekniske ændringer og operationel parathed. Interviewpersonen understreger:

“Ved en virksomhed, jeg arbejdede med, var de nødt til at rykke i skyen. Det var en nødvendighed. Så ser man, at det bliver et projekt, men organisationens modenhed kunne ikke vokse parallelt. Jeg mener, digital transformation først kommer derefter. Man skal kunne eksperimentere og ændre, og deres data var ikke i orden endnu, eller kun delvist.”

Ideelt set bør DORA-implementering integreres i den bredere transformationsportefølje i stedet for at blive behandlet som et parallelt eller sekundært projekt. Alt for ofte sker det modsatte, hvor compliance-teams opererer isoleret fra IT-, sikkerheds- og infrastrukturafdelinger.

En tilbagevendende udfordring ligger i den interne struktur i mange organisationer. ICT-risiko håndteres ofte adskilt fra de bredere enterprise-risikofunktioner, og operationelle afdelinger kan reagere på hændelser uafhængigt af hinanden. Men DORA er i sin natur tværgående: risk, IT, governance og forretningsenheder har alle en rolle at spille.

“Så det, vi bemærkede, var, at den største udfordring var siloerne i organisationen. Risk lavede Risk, og IT-afdelingen håndterede IT-hændelser. Og man ser bare, at et emne som DORA er et tværgående område. Det hører ikke til i én enkelt afdeling. Så man er nødt til at samarbejde. Og så får man selvfølgelig mere udfordrende samarbejde mellem afdelingerne.”

For at navigere dette indfører institutioner årlige, koordinerede planlægningscyklusser baseret på DORA’s tilbagevendende compliancekrav. Dette inkluderer klare leverancer, beslutningspunkter og eskaleringsveje. Ved at samordne hændelseshåndtering, trusselsintelligens og forretningskontinuitetsprocesser på tværs af organisationen kan man reagere hurtigere og mere effektivt, når nye trusler opstår.

Selvom krisehåndteringsprocesser ofte eksisterer på papiret, ligger den mest almindelige mangel i den tidlige genkendelse; nemlig at vide, hvornår en almindelig hændelse eskalerer til en DORA-anmeldelsespligtig hændelse. Forsinkelser i denne vurdering kan øge risikoen betydeligt og hæmme responsindsatsen.

Nogle organisationer imødegår dette ved at indbygge intelligente alarmer direkte i frontlinjeværktøjer såsom helpdesk-systemer. Hvis en supportmedarbejder f.eks. registrerer symptomer, der matcher foruddefinerede kriterier, kan systemet markere en potentiel DORA-hændelse og underrette den relevante koordinator. Denne tidlige triagemekanisme kan markant reducere responstiden og forbedre hændelseshåndtering på tværs af afdelinger.

Operationel robusthedstestning er et andet centralt krav under DORA, men kvaliteten og relevansen af scenarierne er afgørende. I stedet for at overfokusere på almindelige angreb som DDoS, som allerede er godt håndteret i mange miljøer, retter organisationer nu større opmærksomhed mod højimpactscenarier som ransomware, kompromitterede failover-miljøer og kaskadefejl under backup-replikering.

Lige så vigtigt er det at inddrage den samfundsmæssige påvirkning af ICT-forstyrrelser. Scenarier med nedbrud i betalingssystemer eller forsinkelser i behandlingen af sundhedsrelaterede krav prioriteres nu højere. Disse indebærer ikke kun høj operationel risiko, men også betydelige omdømme- og regulatoriske konsekvenser.

De indsamlede indsigter fra dette interview giver et værdifuldt indblik i de reelle organisatoriske og operationelle udfordringer, som DORA medfører, og hvordan institutioner aktivt navigerer i dem.

Hvis du vil vide mere om, hvordan du navigerer i DORA’s komplekse compliance­landskab, er du velkommen til at række ud. Vores specialister står klar til at hjælpe dig videre.