Digital Operational Resilience Act (DORA) er en stor forandring i EU’s forsøg på at styrke den finansielle sektors modstandskraft over for digitale trusler. Og med DORA har vi set en hel række krav, der kan give grå hår i hovedet på selv de erfarne typer, når de skal implementeres.
Læs en spændende artikel af Mathias Mølsted Andersen, Senior Associate i Bird&Bird som optakt til årets konference Teknologi & Regulering i den finansielle sektor den 13. marts.
Implementering af DORA-krav i Leverandørkæden: En Kompliceret Opgave
En central udfordring under DORA er at sikre styringen af IKT trejdeparts risici. Centralt for både kunder og leverandører er hvordan kontraktkravs effektivt implementeres gennem hele leverandørkæden. Det er særligt komplekst i situationer, hvor virksomheder har et omfattende netværk af underleverandører, som ikke nødvendigvis har direkte kontakt med kunderne i den finansielle sektor, og som leverer ydelser til mange forskellige kunder, som måske oveni arbejder i andre mindre regulerede sektorer.
Illustrerende for problemstillingen er en erfaring fra vores arbejde med en klient, der er netværksejer, som var underleverandør til en større tjenesteudbyder. Den større tjenesteudbyder forsøgte at implementere alle DORA-kravene back-to-back til vores klient, selvom vores klient ikke direkte leverer ydelser til kunder i den finansielle sektor. Et ønske om back-to-back kravoverførsel, vil i mange tilfælde ikke være et krav i medfør af DORA som sådan, da det kun er et begrænset antal krav, der skal overføres i henhold til de tekniske standarder (RTSerne) om underleverandører.
Den problemstilling illustrerer en bredere tendens, hvor virksomheder, i et godt og ærligt forsøg på at sikre compliance, ender med at forsøge at overimplementere kravene for egen sikkerheds skyld. Det fører desværre også til unødvendige omkostninger og kompleksitet.
Det er derfor afgørende, at virksomheder forstår, hvilke krav der er kritiske, og hvordan de kan implementeres effektivt uden at overvælde et (under)leverandørnetværk. Eller alternativt kan forklare (under)leverandører, hvorfor det er nødvendigt at gå videre end lovkravene.
Det kræver en ganske dyb forståelse af DORA’s regler og en strategisk tilgang til risikostyring, hvor der fokuseres på de mest væsentlige aspekter af lovgivningen. Og så er prissætning end ikke nævnt.
Strenge Regulatoriske Forventninger og Praktiske Udfordringer
En anden udfordring med sammenhæng til ovenfor er, at kompleksiteten ikke alene eksisterer mellem parterne. Årsagen til visse af jer ønsker at gå med livrem og seler bygger på en nem forståelig motivation, blandt andet at den Europæiske Tilsynsmyndighed (ESA) har gjort det klart, at de forventede fuld overholdelse af DORA inden den 17. januar 2025.
Den strenge deadline stiller store krav til os alle, som i mange tilfælde stadig er i gang med at tilpasse processer og systemer til de nye krav. Det er svært rigtigt at bebrejde kunder eller leverandører, at de forsøger sig med en bred overimplementering fremfor en konkret tilpasset implementering.
Som et andet eksempel kan man pege på oprettelsen af præcise informationsregistre, som ESA har udpeget som en topprioritet i deres håndhævelse. Det er afgørende, at disse registre ikke blot er omfattende men også teknisk korrekte, hvilket kræver betydelige ressourcer og ekspertise.
Forskelle indenfor den finansielle sektor komplicerer yderligere DORA-implementeringen. Banker, som allerede er underlagt strenge reguleringer, kan være bedre rustet til at opfylde DORA’s krav end sektorer som alternative investeringsforvaltere, der måske står over for en stejlere læringskurve. ESA’s dry run øvelser har afsløret, at der er betydelige forskelle i, hvor omfattende informationsregistre forskellige sektorer har indsendt, hvilket afspejler deres forskellige niveauer af reguleringsmæssig modenhed.
Og for at det ikke er nok, så kan håndhævelsen af DORA også variere betydeligt fra land til land. Nogle medlemsstater har allerede implementeret DORA-inspirerede regler og har høje forventninger til overholdelse, mens andre endnu ikke har fuldt ud integreret de nødvendige direktiver. Det kan i sagens natur føre til varierende krav og forventninger, afhængigt af hvor en virksomhed er baseret, og hvor man sælger sine ydelser.
Invitation til Konferencen “Teknologi & Regulering i den finansielle sektor”
Hvordan finder man hoved og hale i sådanne modsatrettede hensyn som kunde og som leverandør?
For virksomheder, der ønsker at navigere i de komplekse DORA-krav og sikre en effektiv implementering, er konferencen Teknologi & Regulering i den Finansielle Sektor den 13. marts 2025 en oplagt mulighed. Her vil jeg sammen med andre eksperter og branchefolk dele indsigt og strategier for at opfylde de regulatoriske krav på en effektiv måde.
Deltagerne får mulighed for at lære om best practices og netværke med andre, der står over for lignende udfordringer. Konferencen vil fokusere på praktiske løsninger til at tackle regulatoriske krav og balancere dem mod kommercielle hensyn.
Tilmeld dig konferencen her for at få en dybere forståelse fx af DORA og forberede din organisation til succes i en nye regulatorisk virkelighed, der bliver mere kompleks år for år. Se årets program her.
