;

DORA er ikke et IT-prosjekt. Det er et styringsansvar.

DORA handler ikke bare om å oppfylle regulatoriske krav – den utfordrer også hvordan virksomheter organiserer styringen av operasjonell robusthet. Mange banker og finansaktører har etablert gode tiltak, men spørsmålet er om de inngår i én helhetlig styringsmodell eller flere parallelle initiativer. Her kan etablerte standarder spille en viktig rolle.

Tre personer foran en pc
Foto: Standard Norge/Nicolas Tourrenc

DORA (Digital Operational Resilience Act) er EUs regelverk for digital operasjonell robusthet i finanssektoren. Formålet er å sikre at banker, forsikringsselskaper, investeringsforetak og andre finansaktører kan motstå, håndtere og gjenopprette etter IKT-relaterte hendelser og cyberangrep.

Etter at DORA trådte i kraft, har mange banker og finansaktører intensivert arbeidet med operasjonell robusthet.

Likevel ser vi en gjennomgående utfordring: Kravene til IKT-risiko, tredjepartsstyring, hendelseshåndtering og kontinuitet utvikles i parallelle spor.

Det er forståelig – kravene er omfattende og involverer flere funksjoner.

Men når arbeidet organiseres fragmentert, oppstår nye risikoer:

  • Utydelig ansvarsforankring
  • Overlappende eller sprikende tiltak
  • Fragmentert dokumentasjon
  • Krevende styre- og ledelsesrapportering

DORA handler i praksis om mer enn etterlevelse. Det handler om helhetlig styring av operasjonell robusthet.

Fra regulatoriske krav til styringsstruktur

Flere virksomheter velger å bruke ISO/IEC 27001 som et overordnet rammeverk for å strukturere arbeidet.

ISO/IEC 27001 etablerer et ledelsessystem basert på:

  • Systematisk risikostyring
  • Tydelig rolle- og ansvarsplassering
  • Dokumenterbar internkontroll
  • Kontinuerlig forbedring
  • Ledelsens involvering

Dette kan samle DORA-relaterte aktiviteter i én styringsstruktur fremfor flere parallelle initiativer.

Standarden erstatter ikke DORA. Men den kan gjøre kravene mer håndterbare i praksis – og skape bedre sammenheng mellom risiko, tiltak og rapportering.

Et strategisk spørsmål

Mange virksomheter opplever at det største arbeidet ikke ligger i å forstå kravene – men i å etablere en helhetlig struktur rundt dem.

Spørsmålet blir derfor:

Har vi én samlet modell for operasjonell robusthet, eller flere parallelle initiativer som må koordineres?

Og har vi enkel tilgang til de standardene som kan støtte dette arbeidet på en systematisk måte?