Meld dig ind
Menu luk
søgluk
  • Dine rettigheder

    Hvad har du krav på, og hvad er du forpligtet til? Læs overenskomsten og få svar på spørgsmål om dit arbejdsliv.

  • Arbejdsliv og udvikling

    Gode råd og vejledning til kompetenceudvikling, trivsel på arbejdspladsen eller det næste skridt i din karriere.

  • Arrangementer og kurser

    Få ny viden og inspiration på et morgenmøde, gå-hjem-møde , webinar, udviklingsforløb og meget mere.

  • Medlemsfordele

    Vi er fagforbundet for hele den finansielle sektor - otte ud af ti finansansatte er medlem. Hos os har du adgang til bl.a. sektorspecifik rådgivning om trivsel, karriere og rettigheder samt mulighed for at deltage i arrangementer og netværk.

  • Nyheder

    Alle nyheder og pressemeddelelser fra Finansforbundet.

  • Politik og analyse

    Vi arbejder for at påvirke sektoren og samfundets udvikling i Danmark gennem udvalgte mærkesager, der har betydning for din hverdag.

Genveje
Dansk Da / English En
Spørgsmål om medlemskab eller brug for rådgivning?
32 96 46 00
Leder du efter medarbejdere hos Finansforbundet?
Find folk

Min status på DORA efter 3 måneder: Pas nu på din compliance-medarbejder

Jeg tror, at den seneste tid har været ekstremt tumultarisk for mange af os. Vi har skullet forholde os til kompliceret, og til tider, ufærdigt lovtekst på engelsk

9. apr. 2025
6 min

Af Frej Jensen, autodidakt it- og compliance-specialist, med ansvar for it-risiko, it-sikkerhed og DORA hos Nordfyns Bank

It-perspektiverne er alene et udtryk for forfatterens synspunkter.

Så langt, så godt.

Det tror jeg, at vi er mange, som har tænkt den seneste tid. 

Vi fik godkendt vores politikker og strategier af bestyrelsen, og det lever nu i vores forretning. Vi har også fået "det der" register afleveret til tilsynet. Det til trods for, at ikke så mange af os havde helt tid til at forstå det dybere formål med det hele. Ting skulle gøres klart, information skulle indsamles, organiseres og afleveres.

Jeg tror, at den seneste tid har været ekstremt tumultarisk for mange af os. Vi har skullet forholde os til kompliceret, og til tider, ufærdigt lovtekst på engelsk, og med et krav om at få "det hele på plads" inden deadline. 

Det har betydet, at vi ikke har haft muligheden for egentlige at dykke ned i, hvad der gemmer sig bag de, i første øjekast, komplicerede rammeværk - selve forordningen og de regulativ tekniske dokumenter - og derfor er farvet af den opfattelse, at DORA ene og alene er en compliancemæssig kompleksitet, som branchen ikke har set tidligere, og derfor bliver "endnu en af de ting, der kommer nede fra EU".

(Artiklen fortsætter efter boksen)
Frej Jensen med ansvar for it-risiko, it-sikkerhed og DORA hos Nordfyns Bank. Foto: Rene Haudgaard.

En stor mundfuld

Den finansielle branche har hidtil ikke været underlagt noget regulativt rammeværk for informations- og cybersikkerhed, hvilket også betyder, at et rammeværk som DORA er en stor mundfuld at tage ind. 

For bankerne blev der med ledelsesbekendtgørelsens bilag 5 taget noget indledende "favntag" i retning af noget regulativt ISMS (Information Security Management System), men ikke den grad, som vi har set med DORA-forordningen. 

Dette har klart afstedkommet, at mange har skulle tage de store forandringsmæssige skridt imod en virkelighed, som de ikke har kendt til tidligere; En virkelighed, hvor der skal en målsætning om en styrket cyber-resiliens - altså at skabe en robusthed på området, og heri giver DORA en fantastisk anledning hertil, da kravet om at have en sådan målsætning ultimativt er blevet lov.

Hvis vi kigger ned i forordningen, ser vi et antal områder, hvor DORA virkelig hjælper os på vej.

Læs også
Frej fandt kreativ løsning på DORA: ”Man kan godt få hjertestop og løbe ud på lokummet”
Særligt et område af den nye DORA-forordning er enormt kompliceret og svært at få styr på for selv garvede it- og compliance-specialister. I ren desperation fandt Frej Jensen fra Nordfyns Bank en kreativ løsning på problemet.

IKT-Risikostyring

DORA tvinger os til at lave komplet metode for vores risikostyring og håndtering. 

Risiko har tidligere været noget abstrakt noget, som man måske ikke kunne agere på, eller endnu vigtigere noget man kunne bruge til at dele viden med ens ledelseslag. Med DORA’s krav om rammesættelse af din IKT-risikostyring, tvinges du til at lave et sprog om emnet, genbesøge emnet ofte og endelig at kunne formidle væsentlige punkter til dem, som skal have viden og tage rette beslutninger.

Værdi: Evidensbaseret indsigt i dit risikobillede, som giver direkte handlerum, når det er nødvendigt.

IKT-tredjepartsrisici - herunder "Register of information". 

Din leverandør er din ven, så kend din leverandør, som du kender din ven. 

Det er dine leverandører, som behandler det mest værdifulde, du har; din data. 

DORA tvinger dig til at have indsigt i hvilke dele af din virksomhed og funktioner, som er kritiske og/eller vigtige for dig, og om hvilke af dine leverandører, der er til dine vigtige funktioner. 

Der er indarbejdet et godt lag af "checks and balances", som gør, at du igen får oprettet evidensbaseret viden om tilstanden af din IKT-infrastruktur og viden om, hvornår du skal reagere - og på hvad.

Værdi: Evidensbaseret grundlag for at have et værdi-samarbejde med dine leverandører, til fordel for dem og til fordel for dig.

IKT-Drift 

DORA rammesætter også de sunde takter omkring backup, logning, brugeradministration, robutshedstest, beredskab og alt det andet gode, som et stærkt fundament omkring it-governance skal indeholde. 

En væsentlig detalje her er, at det alt sammen skal være koblet op imod den risiko, du står med. Igennem din forretningskonsekvensanalyse (BIA) har du et sprog for, hvordan din organisation vil klare sig uden det alt-tid-nødvendige EDB, og ud fra den vil du kunne planlægge alt det andet; dit beredskab, din indsats omkring risikohåndtering, dine leverandørstyringer og din overordnede bevidsthed om rigets tilstand.

Værdi: Her får du værktøjskassen, som binder din organisation og de andre elementer i din DORA-governanceværktøjskasse sammen. Det er her du drifter din dagligdag og laver "koblingerne" til de andre dele af DORA én.

Hvad er DORA?

DORA (Digital Operational Resilience Act) er en EU-forordning, der skal harmonisere kravene til it-sikkerhed i den finansielle sektor.

Formålet er at sikre en fælles og høj standard for digital modstandsdygtighed i alle EU-lande.

DORA trådte i kraft 16. januar 2023 og fandt anvendelse fra 17. januar 2025.

Reglerne omfatter bl.a. cyberrisikostyring, hændelsesrapportering og tredjepartsstyring.

Men jeg er jo bare en lille bank, måske blot med et kontor, 20 medarbejdere og en datacentral, der tager sig af det hele

Eller måske er du en mindre kategori 3 bank med en håndfuld filialer og en datacentral, som har taget sig af alt det med EDB, siden, ja, den første IBM-PC kom til Danmark? Ja, jeg kender følelsen, da det jo netop er sådan et sted, hvor jeg slår mine folder.

Ja, DORA er også yderst relevant for os. Det væsentlige her er dog, at vi skal huske på, at vi ikke er en kæmpestor national, eller international bank, så vores ambitionsniveau ikke skal være af samme kaliber, som det ellers vil være for "de der mastodonter". 

Modsat er det også vigtigt at huske, at en god cybersikkerhed er lige så vigtig for den mindste, som det er for den største.

Det bringer os til vores sidste punkt på vores DORA-rejse.

Proportionalitet

I DORA-forordningen er der en ret så lille, men utrolig væsentlig artikel, som netop tager højde for, at det ikke er den samme indsats for den mindste, som det er for den største i gamet. 

Udover det praktiske forhold, at din leverandørliste måske ikke er lige så stor, som hos "de større banker", giver artiklen os mulighed for at dimensionere vores indsats, så den passer netop til vores præcise størrelse. 

Ud fra den risikobaserede tilgang, hvilken risiko belyser et givent krav, kan du vurdere om en given ting er relevant for din organisation. Så længe vi har taget stilling til alle kravene i DORA-forordningen og har dokumenteret den stillingtagen - hvis nu nogen kommer og spørger - er vi allerede rigtigt langt.

En gylden regel er dog, at hvis noget bliver nævnt som ultimativt, skal det efterleves. Det kan f.eks. være at føre et IKT-register ud fra de rammer, som er beskrevet i det relevante ITS-dokument. Alt andet kan og skal tilrettelægges ud fra din organisations størrelse.
Men for at tage os tilbage til begyndelsen. 

Værdistrømme

Hvilke værdier kan vi trække ud af det her? Hvilken værdi giver en god og effektiv implementering af DORA?

Mit bud vil være, at hvis du har arbejdet dig igennem DORA-rammeværket, fået de forskellige elementer på plads, kender dine risici, dine leverandører og dit rammeværk - så har du en sund og solid IKT-governance stablet på benene. 

Du kender din organisation, og du kan og skal stille krav til dine leverandører og sikre, at de bliver overholdt.

Du har et rammeværk på plads til, hvis det "går galt", og har mulighed for faktisk at handle.

Ultimativt har du taget et vigtigt skridt i at skabe en god og stærk IKT-sikkerhed i din organisation. Noget vi alle, kunder, medarbejdere, direktion og bestyrelse ønsker og forstår. 

Og i det perspektiv er det måske netop dén værdistrøm, vi alle har mest brug for at forstå, beskytte og styrke, og dét som tager DORA fra ikke blot at være en compliance-ting, men også dét, der skaber den gode IKT og cybersikkerhed. 

Det fantastiske her er, at du faktisk ikke har noget valg. 

Emner

Se også

Seneste nyt

Flere nyheder