DORA-förordningen: vad den innebär och hur du förbereder din organisation

DORA-förordningen är EU:s nya ramverk för operativ motståndskraft inom den finansiella sektorn. Syftet är att säkerställa att banker, försäkringsbolag, betalningsinstitut, fondbolag och deras IT-leverantörer kan stå emot, hantera och återhämta sig från cyberincidenter och driftstörningar. I den här artikeln får du en klar bild av vad DORA kräver, hur du kan börja förbereda dig och vilka misstag som ofta sinkar efterlevnaden.

Kärnkrav och praktisk tolkning: från policy till vardag

DORA utgår från fem pelare: ICT-riskhantering, incidentrapportering, testning av digital operativ motståndskraft, hantering av tredjepartsrisker samt informationsdelning. I praktiken innebär detta att du behöver dokumenterade processer, tydliga ägarskap och mätetal som visar att kontrollerna verkligen fungerar. Ett enkelt första steg är att kartlägga era affärskritiska tjänster, koppla dem till bakomliggande system och identifiera vad som händer om en komponent faller bort. Många organisationer upptäcker här att redundans finns på pappret men inte i driften, till exempel en sekundär databas som inte är testad på sex månader.

Incidentrapportering blir ofta mer tidskritisk än man tror. För att undvika panik vid en större störning bör du ha en färdig mall för klassificering av incidenter, ansvarslista med primär och sekundär kontakt samt färdigskrivna kundmeddelanden för olika scenarier. Ett konkret knep är att öva ett bordsspel varannan månad: simulera att betalningar ligger nere i 90 minuter och mät hur snabbt ni kan bekräfta omfattning, initiera åtgärder och kommunicera internt och externt.

Tredjepartsrisker och testning: få koll på kedjan och bevisa motståndskraft

Den största överraskningen för många är hur långt ansvaret sträcker sig in i leverantörsledet. Om din kärnverksamhet vilar på molntjänster eller specialiserade fintech-leverantörer måste du kunna visa hur deras incidenter påverkar din riskbild. Här räcker det inte med generella SOC-rapporter. Begär konkreta åtaganden i avtal, som återställningstider, testfrekvens för failover och rätt att genomföra eller ta del av motståndskraftstester. Ett praktiskt tips är att skapa en enkel riskmatris per tjänst som väger affärskritikalitet mot leverantörens mognad, och att knyta tydliga exit-kriterier till varje avtal.

För testning av operativ motståndskraft vill tillsynsmyndigheter se bevis, inte bara planer. Börja med tekniska grundtester som återläsning av backup, switch av primär till sekundär region och nätverkssegmenteringstester. Lägg sedan till hotdrivna övningar där ni simulerar attacker som phishing-kampanjer eller ransomware-försök. En bank jag arbetat med kortade sin återställningstid från fyra timmar till 75 minuter genom att automatisera runbooks och införa mätetal per steg, till exempel tid till isolering, tid till återställning och tid till kundinformation.

När ni sammanställer ert ramverk kan det vara klokt att beskriva processerna med referens till dora förordningen, så att styrelse och leverantörer förstår vilka delar som är lagkrav och vilka som är interna ambitionsnivåer. Det minskar risken för överimplementering och gör det lättare att förklara prioriteringar vid budgetdiskussioner.

Sammanfattningsvis handlar DORA-förordningen om att gå från goda intentioner till uppmätt förmåga. Börja med en gap-analys mot de fem pelarna, prioritera affärskritiska flöden och säkra avtal och tester kring de leverantörer som bär mest risk. Vill du fördjupa dig ytterligare, samla nyckelpersoner från risk, IT och verksamhet för en tvåtimmars workshop och ta fram en 90-dagarsplan med tre konkreta leverabler: uppdaterad systemkarta, testad incidentprocess och en prioriterad leverantörslista med åtgärder. Behöver du stöd att komma igång eller en oberoende genomlysning av din nuvarande förmåga, ta kontakt och låt oss diskutera nästa steg.