DORA kommer – vær klar

Af Thit Larsson Holmbo, chefkonsulent 

Pengeinstitutterne spiller en vigtig rolle i samfundets kritiske infrastruktur. De leverer nødvendige funktioner for både virksomheder, private og samfundet, og de opbevarer store mængder af oplysninger.  

Det betyder, at sektoren er i stor risiko for cyberangreb. 

Den 17. januar 2025 bliver kravene til pengeinstitutternes digitale modstandsdygtighed øget, når DORA-forordningen træder i kraft.  

Kort fortalt er målet med DORA, at pengeinstitutterne skal være rustet til at håndtere det digitale trusselsbillede. Heldigvis er mange pengeinstitutter hjulpet godt på vej af samarbejdet med en datacentral.  

Men: DORA er omfangsrig og stiller mange krav til det enkelte pengeinstitut, dets ledelse og medarbejdere. Så selvom vi har datacentralerne, er der stadig en opgave for pengeinstitutterne i at sørge for, at DORA bliver en del af dagligdagen.  

Krav om uddannelse, tests og indberetninger 

Noget af det, der kommer til at ligge ved pengeinstitutterne, er kravet om uddannelse af alle medarbejdere, flere indberetninger til myndighederne, tests af digital operationel modstandsdygtighed og at outsource IKT-løsninger. 

Når DORA træder i kraft, skal alt det behandles under et nyt regelsæt og med nye procedurer.  

Sikkert pengeinstitut – sikre kunder 

Den skærpede regulering kommer med en række betydelige fordele for det enkelte pengeinstitut, når vi arbejder med at sikre både kunder og organisation mod cybertrusler. 

DORA kommer til at skabe øget bevidsthed omkring IT-risici, der kommer på dagsordenen på alle niveauer af et pengeinstitut. Med andre ord sikrer DORA, at hele pengeinstituttet har god viden om risici og trusler, hvordan man undgår at blive ramt – og hvordan man reagerer, hvis man bliver ramt. 

Indberetningerne, som kan virke proceduretunge og omfangsrige, er data, som myndighederne bruger. Så de bidrager til, at sektoren er stabil, og at tilliden til samfundet – og det enkelte pengeinstitut – opretholdes. 

Så selvfølgelig skal alle implementere DORA. Er ovenstående ikke argumenter nok, er det værd at huske på, at DORA også giver Finanstilsynet væsentligt flere værktøjer i sanktionskassen.  

Fremover kan de tildele alt fra påbud og advarsler til inddragelse af banklicensen. 

Effektivt at gøre det rigtigt første gang 

Implementeringen af DORA er en kompleks opgave, som kræver ressourcer. Heldigvis er pengeinstitutterne trænede i at implementere ny lovgivning, uanset kompleksitet. Bare indenfor de seneste år har ledelsesbekendtgørelsens krav til IT-sikkerhed betydet store ændringer.  

Flere dele af DORA er derfor ikke helt fremmede, men kommer i en ny indpakning. Nu skal vi blot ”knække nøden” og finde ud af, hvordan vi håndterer de nye krav. 

Kom godt i gang og kom godt på plads 

Vi ved, at DORA i mange pengeinstitutter fylder meget. Selvfølgelig især for de medarbejdere, som skal håndtere den.  

For at lykkes, at det vigtigt at vide, hvad forventningerne er til opgaven og hvordan, man løser den. Det hjælper vi naturligvis med - helt konkret og håndgribeligt. 

Aktuelt har vi flere ting i kalenderen, som kan hjælpe jer, når vi rammer d. 17. januar. 

Vi implementerer løbende uddannelseskravene i DORA, hvor de hører til. Så I kan være sikre på, at kravene er opfyldt, når I bruger FU’s løsninger.