Viktiga DORA-insikter från verkligheten

I de tidiga faserna av de flesta DORA-program tenderar finansiella institutioner att se compliance som en regulatorisk skyldighet, en nödvändig kostnad snarare än en strategisk möjlighet. Detta synsätt är särskilt vanligt på ledningsnivå. Med tiden förändras dock denna uppfattning. Som en nationell tillsynsmyndighet uttrycker det:

“Att ha sitt kapital i ordning är lika viktigt som att ha sin motståndskraft på plats. Och då märker man att företag behöver lära sig detta. Det man fortfarande ser är att många företag närmar sig DORA på ett gammaldags sätt. Alltså mycket fokus på policy och liten översättning till handling. Den typen av saker.”

Denna insikt markerar ofta en vändpunkt där DORA går från att vara en avprickningsövning till att bli en katalysator för förbättrad tjänstepålitlighet och ökat kundförtroende.

En vanlig fallgrop är ett traditionellt, policytungt arbetssätt med begränsad operativ tillämpning. Många organisationer tar fram omfattande ramverk men misslyckas med att integrera dem på ett meningsfullt sätt i det dagliga arbetet och systemen.

DORA-regelefterlevnad sker sällan i isolering. Den löper ofta parallellt med bredare initiativ som molnmigrering, datakonsolidering och digital transformation. Men dessa insatser rör sig inte alltid i samma takt. I vissa fall skyndar organisationer på sin molnadoption, medan datakvalitet eller processmognad släpar efter. Resultatet blir ett glapp mellan tekniska förändringar och operativ beredskap. Intervjuobjektet understryker:

“På ett företag jag arbetade med var de tvungna att flytta till molnet. Det var en nödvändighet. Då ser man att det blir ett projekt, men organisationens mognad kunde inte växa parallellt. Jag menar att digital transformation först kommer därefter. Man måste kunna experimentera och förändra, och deras data var inte i ordning ännu, eller bara delvis.”

Idealiskt bör DORA-implementeringen integreras i den bredare transformationsportföljen snarare än att hanteras som ett parallellt eller sekundärt projekt. Alltför ofta sker motsatsen, där compliance-team arbetar isolerat från IT-, säkerhets- och infrastrukturavdelningar.

En återkommande utmaning ligger i den interna strukturen hos många organisationer. ICT-risk hanteras ofta separat från bredare riskfunktioner, och operativa avdelningar kan svara på incidenter oberoende av varandra. Men DORA är i grunden tvärfunktionellt: risk, IT, styrning och affärsenheter har alla viktiga roller.

“Det vi märkte var att den verkliga utmaningen var silos i organisationen. Risk gjorde Risk, och IT-avdelningen hanterade IT-incidenter. Och man ser tydligt att ett område som DORA är tvärfunktionellt. Det hör inte hemma i en enda avdelning. Så man måste samarbeta. Och då blir samarbetet mellan avdelningar förstås mer utmanande.”

För att hantera detta inför organisationer årliga, samordnade planeringscykler baserade på DORA:s återkommande krav. Det omfattar tydliga leveranser, beslutssteg och eskaleringsvägar. Genom att samordna incidenthantering, hotinformation och kontinuitetsprocesser i hela organisationen kan man reagera snabbare och mer effektivt när nya hot uppstår.

Även om krishanteringsprocesser ofta finns nedskrivna ligger den vanligaste bristen i den tidiga identifieringen; att veta när ett vanligt incident utvecklas till en DORA-anmälningspliktig händelse. Fördröjningar i denna bedömning kan avsevärt öka riskerna och försvåra responsarbetet.

Vissa organisationer hanterar detta genom att bygga in intelligenta varningar direkt i verktyg som används i frontlinjen, som exempelvis helpdesksystem. Om en supportmedarbetare registrerar symtom som matchar fördefinierade kriterier kan systemet markera ett potentiellt DORA-incident och larma rätt koordinator. Denna tidiga triagemekanism kan kraftigt minska responstiden och förbättra incidenthanteringen mellan avdelningar.

Tester av operativ motståndskraft är ett annat centralt krav inom DORA, men kvaliteten och relevansen i scenarierna är avgörande. I stället för att överbetona vanliga attacker som DDoS, som redan är väl hanterade i många miljöer, fokuserar organisationer nu mer på scenarier med hög påverkan, såsom ransomware, komprometterade failover-miljöer och kaskadfel under backupreplikering.

Lika viktigt är att ta hänsyn till den samhälleliga påverkan av ICT-störningar. Scenarier med avbrott i betalningssystem eller förseningar i handläggningen av vårdrelaterade ersättningsärenden prioriteras nu allt högre. Dessa innebär inte bara höga operativa risker utan även betydande rykte- och regelmässiga konsekvenser.

De insikter som samlats in genom denna intervju ger en värdefull inblick i de verkliga organisatoriska och operativa utmaningar som DORA innebär och hur institutioner aktivt hanterar dem.

Om du vill veta mer om hur du navigerar i DORA's komplexa compliance­landskap är du varmt välkommen att höra av dig. Våra specialister står redo att hjälpa dig vidare.