Viktiga DORA-insikter från verkligheten

I de tidiga faserna av de flesta DORA-program tenderar finansiella institutioner att se compliance som en regulatorisk skyldighet – en nödvändig kostnad snarare än en strategisk möjlighet. Detta synsätt är särskilt vanligt på ledningsnivå. Med tiden förändras dock denna uppfattning. Som en nationell tillsynsmyndighet uttrycker det: “Att ha kapitalet i ordning är lika viktigt som att ha sin motståndskraft på plats.” Denna insikt markerar ofta en vändpunkt där DORA går från att vara en formell övning till en katalysator för förbättrad servicepålitlighet och kundförtroende.

En vanlig fallgrop är ett traditionellt, policytungt arbetssätt med begränsad operativ tillämpning. Många organisationer utformar omfattande ramverk men misslyckas med att integrera dem på ett meningsfullt sätt i det dagliga arbetet och systemen.

DORA-regelefterlevnad sker sällan i isolation. Den löper ofta parallellt med större initiativ såsom molnmigrering, datakonsolidering och digital transformation. Men dessa insatser rör sig inte alltid i samma takt. I vissa fall accelererar organisationer sin molnadoption medan datakvalitet eller processmognad släpar efter. Resultatet blir ett glapp mellan teknisk förändring och operativ beredskap.

Idealiskt bör DORA-implementeringen integreras i den bredare transformationsportföljen i stället för att behandlas som ett parallellt eller sekundärt projekt. Alltför ofta sker det motsatta, där compliance-team arbetar isolerat från IT-, säkerhets- och infrastrukturavdelningarna.

En återkommande utmaning ligger i många organisationers interna struktur. ICT-risk hanteras ofta separat från bredare företagsriskfunktioner, och operativa avdelningar kan reagera på incidenter oberoende av varandra. Men DORA är i grunden tvärfunktionellt: risk, IT, styrning och affärsenheter har alla viktiga roller.

För att hantera detta inför organisationer årliga, samordnade planeringscykler baserade på DORA:s återkommande regelefterlevnadskrav. Detta inkluderar tydliga leverabler, besluts­punkter och eskaleringsvägar. Genom att samordna incidenthantering, hotinformation och processer för kontinuitet i verksamheten kan organisationer reagera snabbare och mer effektivt när nya hot uppstår.

Även om krishanteringsprocesser ofta finns nedskrivna ligger den vanligaste bristen i den tidiga identifieringen; att veta när ett vanligt incident utvecklas till en DORA-anmälningspliktig händelse. Fördröjningar i denna bedömning kan avsevärt öka riskerna och försvåra responsarbetet.

Vissa organisationer hanterar detta genom att bygga in intelligenta varningar direkt i verktyg som används i frontlinjen, som exempelvis helpdesksystem. Om en supportmedarbetare registrerar symtom som matchar fördefinierade kriterier kan systemet markera ett potentiellt DORA-incident och larma rätt koordinator. Denna tidiga triagemekanism kan kraftigt minska responstiden och förbättra incidenthanteringen mellan avdelningar.

Tester av operativ motståndskraft är ett annat centralt krav inom DORA, men kvaliteten och relevansen i scenarierna är avgörande. I stället för att överbetona vanliga attacker som DDoS, som redan är väl hanterade i många miljöer, fokuserar organisationer nu mer på scenarier med hög påverkan, såsom ransomware, komprometterade failover-miljöer och kaskadfel under backupreplikering.

Lika viktigt är att ta hänsyn till den samhälleliga påverkan av ICT-störningar. Scenarier med avbrott i betalningssystem eller förseningar i handläggningen av vårdrelaterade ersättningsärenden prioriteras nu allt högre. Dessa innebär inte bara höga operativa risker utan även betydande rykte- och regelmässiga konsekvenser.

De insikter som samlats in genom denna intervju ger en värdefull inblick i de verkliga organisatoriska och operativa utmaningar som DORA innebär och hur institutioner aktivt hanterar dem.

Om du vill veta mer om hur du navigerar i DORA's komplexa compliance­landskap är du varmt välkommen att höra av dig. Våra specialister står redo att hjälpa dig vidare.