DORA-förordningen är EU:s nya regelverk för operativ digital motståndskraft inom finanssektorn. Den påverkar banker, försäkringsbolag, betalningsinstitut, fondbolag och även viktiga tredjepartsleverantörer av IT-tjänster. Syftet är enkelt: minska risken för avbrott och cyberincidenter som kan skaka hela det finansiella ekosystemet. I den här guiden får du en tydlig översikt över vad DORA kräver, hur du kan komma i gång och vanliga fallgropar att undvika.
DORA bygger på fem pelare: styrning och riskhantering, hantering av incidenter, test av digital motståndskraft, hantering av tredjepartsrisker samt informationsdelning om hot. I praktiken betyder det att ledningen behöver äga frågan, att det finns spårbara processer för riskbedömning och att tydliga roller är utsedda. Ett finansiellt institut måste till exempel kunna visa hur en sårbarhet hanteras från upptäckt till åtgärd, inklusive vem som godkänner risken och hur återkoppling sker.
Incidenthantering ska inte vara en pärm i hyllan utan ett levande arbetssätt. Ha en incidentplan med klara kontaktvägar, beslutsmatris och kriterier för rapportering inom lagstadgade tidsramar. Ett mindre betalbolag jag arbetat med tränade sin incidentprocess kvartalsvis genom korta, 45-minuters tabletop-övningar. Resultatet blev snabbare lägesbild, färre missförstånd och mer konsekvent kundkommunikation när en faktisk driftstörning inträffade.
Testning av motståndskraft handlar om att regelbundet utsätta system och processer för realistiska scenarion. Förutom sårbarhetsskanningar och penetrationstester är hotledd testning värdefullt: utgå från verkliga angreppsmetoder mot era mest kritiska tjänster. En bank jag rådgav prioriterade en kundkritisk inloggningstjänst och upptäckte att en till synes trivial loggningsbrist försvårade felsökning vid belastningsangrepp. En enkel loggstandard och larmtrösklar löste majoriteten av problemen till låg kostnad.
Många incidenter har sitt ursprung hos leverantörer. DORA kräver att du känner till vilka tjänster som är kritiska, har avtalade säkerhetskrav och följer upp dem fortlöpande. Börja med en enkel men konsekvent kartläggning: vad är affärskritiskt, vilka data behandlas, var finns personuppgifter och vilket är återställningskravet? Kräv revisionsrätt, säkerhetsbilagor och mätbara indikatorer som patchningsfönster och återställningstider. Sätt dessutom en exit-plan. Jag har sett hur en tydlig, testad exit-plan minskar både kostnad och tid när en leverantör byts under press.
Glöm inte att utbilda organisationen. En kort, återkommande utbildning om phishing, lösenordshantering och rapporteringsvägar ger ofta större riskreduktion än ytterligare ett verktyg. Kombinera detta med nyckeltal som incidenternas upptäcktstid, andelen åtgärdade sårbarheter inom SLA och hur många kritiska leverantörer som uppfyller avtalskraven. När dessa nyckeltal blir styrelserapportering varje kvartal skapas det ledningsfokus som DORA faktiskt förutsätter.
För dig som vill fördjupa dig ytterligare i dora förordningen är det viktigt att notera tidslinjen för efterlevnad, vilka typer av tester som krävs för olika riskprofiler samt hur tillsynsmyndigheter kan begära underlag. Ett konkret råd är att bygga en enkel, versionshanterad artefaktkatalog: policyer, riskregister, testprotokoll, leverantörsavtal och förbättringsplaner samlas på ett ställe. Då blir det lättare att visa spårbarhet, särskilt vid en granskning.
Sammanfattningsvis ställer DORA-förordningen tydliga krav men ger också en chans att stärka det som faktiskt skapar förtroende: driftsäkerhet, transparens och förmågan att stå upp när det blåser. Börja med en nulägesanalys mot kraven, prioritera kritiska processer och bygg vanor kring test och uppföljning. Vill du ta nästa steg, samla rätt personer från IT, risk, juridik och verksamhet och sätt en 90-dagars plan. Det är bästa vägen till både regelefterlevnad och verklig motståndskraft.