Blogg: Er din virksomhet klar for DORA?

Nå trer lov om digital operasjonell motstandsdyktighet i kraft.

1. juli trer DORA-loven i kraft i Norge. Nå stilles det tydeligere krav til hvordan finansforetak og leverandører håndterer digital operasjonell risiko. Er du forberedt?

 

Digital motstandsdyktighet blir lovpålagt

Finanstilsynet har nå gjort det klart: Norge har fått en egen lov om digital operasjonell motstandsdyktighet (DORA-loven). Dette er ikke lenger en anbefaling eller forventning. Det er et krav. Lovendringen gjelder virksomheter i finanssektoren, men også deres IKT-leverandører blir omfattet. For mange betyr dette et økt behov for å strukturere, dokumentere og sikre at virksomheten faktisk tåler avbrudd og trusler i digitale tjenester, både fra innsiden og utsiden.

 

Hva må du forholde deg til?

DORA stiller krav innen fem hovedområder:

  • IKT-risikostyring: Virksomheten må etablere helhetlig og dokumentert styring av digital risiko, med tydelig forankring hos ledelsen.
  • Håndtering av hendelser: Det må på plass prosesser for å oppdage, håndtere og rapportere IKT-hendelser både internt og til tilsynsmyndigheter.
  • Testing av digital motstandskraft: Regelmessig testing av systemer og prosesser er pålagt, spesielt for virksomheter som anses som kritiske.
  • Tredjepartsrisiko: Du må ha kontroll på hvilke leverandører du bruker, hvordan de håndteres, og hvilke risikoer de medfører.
  • Tilsyn og samarbeid: Tilsynsmyndighetene får nye verktøy, og virksomheten må være forberedt på både dialog og løpende tilsyn.

 

DORA handler ikke bare om etterlevelse

DORA er ikke bare et regelverk, det er også en mulighet. Virksomhetene som tar kravene på alvor, får bedre innsikt i egne digitale svakheter, mer robuste driftsprosesser og økt tillit blant kunder og partnere.

I BDO jobber vi tett med banker, forsikringsselskaper og andre finansaktører som nå må gjøre konkrete vurderinger: Hva har vi på plass allerede? Hva må forbedres? Og ikke minst hvordan får vi dette til i praksis, med de ressursene vi har?

 

DORA vil skille de robuste fra de sårbare

I en sektor hvor tillit er avgjørende, vil de som jobber systematisk med digital risiko og motstandsdyktighet være bedre rustet for fremtiden, både regulatorisk og kommersielt. DORA er mer enn en compliance-øvelse. Det er en anledning til å bygge tryggere, mer motstandsdyktige organisasjoner.

 

Tre råd

  1. Forankre ansvaret i ledelsen. DORA krever at ledelsen involveres i den digitale risikostyringen, dette er ikke en IT-øvelse alene.
  2. Gjør en gap-analyse. Kartlegg hva du har på plass i dag sammenlignet med DORA-kravene. Det gir deg et konkret utgangspunkt.
  3. Start med det vesentlige. Ikke prøv å løse alt samtidig. Prioriter tiltak som gir størst risiko- og modenhetsgevinst.


Trenger du en sparringspartner for å kartlegge hvordan din virksomhet påvirkes av DORA og hvilke tiltak som bør prioriteres først? 
Ta kontakt for en uforpliktende samtale!