DORA: Bestyrelsens og lederes ansvar | House of Control

Bestyrelsens og lederes ansvar under DORA er kernen i EU's nye rammeværk for digital modstandskraft. Her får du overblikket på både strategisk og operationelt niveau, med det du skal vide for at kunne håndtere DORA.

Digital modstandskraft er ikke længere kun et IT-ansvar. Siden den 17. januar 2025 har EU's Digital Operational Resilience Act (DORA) været fuldt gældende, og ansvaret ligger nu hos bestyrelsen og topledelsen. Dette betyder, at DORA handler om mere end regulering, det handler om lederskab.

DORA ændrer spillereglerne for styring. Digital modstandskraft flyttes fra at være et teknisk ansvar til at blive et bestyrelses- og lederansvar. Det kræver viden, forpligtelse og samarbejde. Rigtigt håndteret åbner det også for stærkere virksomheder og varigt tillid.

For selskaber i finanssektoren og tilknyttede brancher betyder dette, at digital risiko og modstandskraft skal behandles med samme alvor som finansiel risiko. Spørgsmålet er ikke længere "er IT-afdelingen klar?", men "er vi som ledere klar?"

DORA og bestyrelsen: Hvorfor styring og ledelse er afgørende

Kernen i DORA giver bestyrelsen to klare pligter:

• Sætte rammeværket for håndtering af IKT-risiko og digital modstandskraft
  
  
• Overvåge og følge op på, at rammeværket faktisk fungerer

Styring er ikke valgfrit – det er en lovpligtig pligt. Bestyrelsen skal sikre de rette strukturer, processer og ressourcer for at imødekomme regulatoriske forventninger.

IKT-risiko er ikke en sideudfordring, men skal integreres i den samlede risikostyring. Bestyrelsen forventes at tage et bredt greb: indarbejde IKT-risiko i risikobilledet, kræve tydelige rapporteringslinjer og få regelmæssige opdateringer om cyberrisici, resiliens-tests, hændelseshåndtering og leverandøropfølgning.

Vigtigst af alt: bestyrelsen skal vise digital kompetence, og manglende viden er ikke længere en undskyldning. Bestyrelsesmedlemmer skal have indsigt og færdigheder til at forstå IKT-risici og stille de rigtige spørgsmål.

Lederansvar under DORA: Fra beslutning til daglig drift

Mens bestyrelsen definerer rammeværket, er det ledelsen, der får det til at virke. Under DORA er lederne ansvarlige for at integrere IKT-risikostyring i den daglige drift.

CEO bærer det overordnede ansvar, men nøgleroller fordeles:

• CIO: Sikrer, at den tekniske del af IKT-risikostyringen fungerer
  
  
• CISO: Leder arbejdet med informationssikkerhed og modstandskraft
  
  
• Compliance: Overvåger opfølgning og efterlevelse af regelværket
  
  

CEO skal desuden sikre de rette ressourcer, etablere procedurer for hændelseshåndtering og foretage grundig vurdering af leverandører. DORA kræver også en uafhængig kontrolfunktion for IKT-risiko, som er adskilt fra den daglige drift for at undgå interessekonflikter.

Kultur er nøglen. Ledelsen skal fremme en organisationskultur, hvor modstandskraft er alles ansvar, støttet af uddannelse, bevidsthed og samarbejde på tværs.

Hændelsesrapportering: Handle hurtigt, når det gælder

En af de mest konkrete pligter i DORA er hændelsesrapportering. Alvorlige IKT-hændelser skal hurtigt indberettes til myndighederne, i visse tilfælde inden for få timer.

Bestyrelsen og ledelsen skal sikre, at:

• Der findes klare rutiner for at opdage og klassificere hændelser
  
  
• Rapportering internt sker omgående, så beslutningstagere hurtigt varsles
  
  
• Compliance-teamet kan håndtere de stramme tidsfrister for indberetning

Dette handler ikke kun om at undgå sanktioner. Åben og hurtig rapportering handler også om at beskytte tillid hos kunder, partnere og tilsyn.

Test af modstandskraft: Bevis på, at rammeværket virker

DORA kræver regelmæssig test af digital modstandskraft, fra grundlæggende sårbarhedsvurderinger til avancerede trusselsbaserede penetrationstests (TLPT) udført af uafhængige eksperter.

For ledelsen betyder dette at sikre, at:

• Der findes en plan for regelmæssig test af systemer, kontroller og gendannelsesprocesser
  
  
• Resultater rapporteres tilbage til bestyrelsen og følges op
  
  
• Identificerede svagheder fører til tydelige tiltag
  
  

Test er stedet, hvor strategi møder virkelighed. Det er på denne måde, ledere kan være sikre på, at modstandskraft ikke kun er en politik, men en reel kapacitet i virksomheden.

Tredjepartsrisiko: Styring af eksterne leverandører

En stor del af IKT-risikoen ligger hos tredjepartsleverandører, såsom cloud-tjenester, fintech-partnere og andre kritiske aktører. DORA er tydelig: ansvaret bliver hos bestyrelsen og ledelsen, selv ved outsourcing.

Dette kræver:

• Gennemførelse af due diligence, før man tager nye IKT-leverandører ind
  
  
• Klare kontrakter, der definerer sikkerhed, modstandskraft og rapporteringskrav
  
  
• Løbende opfølgning af leverandørens performance og sikkerhed
  
  
• Exit-strategier, hvis leverandøren ikke kan levere sikkert
  
  

For ledere handler dette om at erkende, at modstandskraft også er et spørgsmål om leverandørkæden. Solid styring af leverandører er nu både et regulatorisk krav og en forretningsmæssig nødvendighed.

Tilsynsforventninger: Dialog og dokumentation

DORA lægger op til tæt europæisk koordinering mellem tilsynsmyndigheder. Virksomheder skal være forberedt på øget kontrol og flere krav til dokumentation.

Bestyrelsen og ledelsen skal sikre, at:

• Styringsbeslutninger og risikovurderinger er vel dokumenteret
  
  
• Der findes klare spor af hændelser, test og leverandøropfølgning
  
  
• Selskabet kan vise faktisk gennemførelse, ikke kun planer
  
  

I praksis betyder dette at være forberedt på tæt dialog med tilsynsmyndigheder og at betragte dem som centrale interessenter i digital modstandskraft.

Sådan får bestyrelsen og ledelsen DORA-styring til at fungere i praksis

Compliance kan ikke reduceres til en tjekliste. Effektiv styring betyder en kontinuerlig cyklus af planlægning, gennemførelse, test og evaluering.

Ledere bør fokusere på:

• Målbare mål: Klare KPI’er for modstandskraft og risikoreduktion
  
  
• Regelmæssig rapportering: Synlighed af fremdrift og hændelser til bestyrelsen
  
  
• Tværfagligt samarbejde: Fora, hvor CIO, CISO, compliance og risikostyring koordinerer indsatsen
  
  
• Leverandøropfølgning: Aktiv risikostyring ud over egne systemer
  
  

Når dette hænger sammen, bliver modstandskraft en integreret del af driften, og mere end blot et compliance-krav.

Risikoen ved at ignorere DORA

At undlade at efterleve DORA kan få alvorlige konsekvenser. Reguleringerne åbner for betydelige bøder, og ved grov uagtsomhed kan bestyrelsesmedlemmer eller ledere holdes personligt ansvarlige.

Men det største tab er ofte omdømmet. En cyberhændelse, der afslører svag styring, kan undergrave både kunde- og investorernes tillid og dermed konkurrenceevnen. For finansinstitutioner, hvor tillid er kernekapitalen, er dette den største risiko.

Ud over compliance: Hvordan DORA styrker tillit og konkurrenceevne

De gode nyheder er, at de, der tager DORA alvorligt, ikke blot undgår risiko – de opbygger styrke. Ved at integrere modstandskraft i styring og drift kan virksomheder:

• Reducere eksponeringen for cybertrusler
  
  
• Styrke tilliden hos kunder, partnere og tilsynsmyndigheder
  
  
• Tage en konkurrencefordel på et marked, hvor modstandskraft er en differentierende faktor
  
  

Kort sagt handler DORA ikke kun om compliance. Det handler om lederskab, tillid og om at give din virksomhed en konkurrencefordel.