Lær om DORA, IFRS 16, NIS2 og kontraktstyring | House of control

DORA: Styrets og lederes ansvar | House of Control

Skrevet av House of Control | 01.09.2025

Styrets og lederes ansvar under DORA er kjernen i EUs nye rammeverk for digital motstandskraft. Her får du oversikten på både strategisk og operasjonelt nivå, med alt du trenger for å møte kravene.

Digital motstandskraft er ikke lenger bare et IT-ansvar. Siden 17. januar 2025 har EUs Digital Operational Resilience Act (DORA) vært fullt ut gjeldende, og ansvaret ligger nå hos styret og toppledelsen. Dette gjør at DORA handler om mer enn regulering, det handler om lederskap.

DORA endrer spillereglene for styring. Digital motstandskraft flyttes fra å være et teknisk ansvar til å bli et styre- og lederansvar. Det krever kunnskap, forpliktelse og samarbeid. Riktig håndtert åpner det også for sterkere virksomheter og varig tillit.

For selskaper i finanssektoren og tilknyttede bransjer betyr dette at digital risiko og motstandskraft må behandles med samme alvor som finansiell risiko. Spørsmålet er ikke lenger «er IT-avdelingen klar?», men «er vi som ledere klare?»

DORA og styret: Hvorfor styring og ledelse er avgjørende

Kjernen i DORA gir styret to klare plikter:

  • Sette rammeverket for håndtering av IKT-risiko og digital motstandskraft

  • Overvåke og følge opp at rammeverket faktisk fungerer

Styring er ikke valgfritt – det er en lovpålagt plikt. Styret må sikre riktige strukturer, prosesser og ressurser for å møte regulatoriske forventninger.

IKT-risiko er ikke en sideutfordring, men må integreres i helhetlig risikostyring. Styret forventes å ta et bredt grep: bygge inn IKT-risiko i risikobildet, kreve tydelige rapporteringslinjer, og få regelmessige oppdateringer om cyberrisiko, resiliens-tester, hendelseshåndtering og leverandøroppfølging.

Viktigst av alt: styret må vise digital kompetanse, og manglende kunnskap er ikke lenger en unnskyldning. Styremedlemmer må ha innsikt og ferdigheter til å forstå IKT-risikoer og stille de riktige spørsmålene.

Lederansvar under DORA: Fra beslutning til daglig drift

Mens styret definerer rammeverket, er det ledelsen som får det til å virke. Under DORA er lederne ansvarlige for å integrere IKT-risikostyring i den daglige virksomheten.

CEO bærer det overordnede ansvaret, men nøkkelroller fordeles:

  • CIO: Sikrer at den tekniske delen av IKT-risikostyringen fungerer

  • CISO: Leder arbeidet med informasjonssikkerhet og resiliens

  • Compliance: Overvåker oppfølging og samsvar med regelverket

CEO må i tillegg sørge for riktige ressurser, etablere prosedyrer for hendelseshåndtering og sikre grundig vurdering av leverandører. DORA krever også en uavhengig kontrollfunksjon for IKT-risiko som er atskilt fra daglig drift for å unngå interessekonflikter.

Kultur er nøkkelen. Ledelsen må fremme en organisasjonskultur der resiliens er alles ansvar, støttet av opplæring, bevissthet og samarbeid på tvers.

 

Hendelsesrapportering: Handle raskt når det gjelder

En av de mest konkrete pliktene i DORA er hendelsesrapportering. Alvorlige IKT-hendelser må meldes raskt til myndighetene, og i enkelte tilfeller innen få timer.

Styret og ledelsen må sikre at:

  • Det finnes klare rutiner for å oppdage og klassifisere hendelser

  • Rapportering internt skjer umiddelbart slik at beslutningstakere varsles raskt

  • Compliance-team kan håndtere de stramme tidsfristene for varsling

Dette handler ikke bare om å unngå sanksjoner. Åpen og rask rapportering handler også om å beskytte tillit hos kunder, partnere og tilsyn.

 

Testing av motstandskraft: Bevis på at rammeverket virker

DORA krever jevnlig testing av digital motstandskraft, fra grunnleggende sårbarhetsvurderinger til avanserte trusselbaserte penetrasjonstester (TLPT) gjennomført av uavhengige eksperter.

For ledelsen innebærer dette å sikre at:

  • Det finnes en plan for regelmessig testing av systemer, kontroller og gjenopprettingsprosesser

  • Resultater rapporteres tilbake til styret og følges opp

  • Identifiserte svakheter fører til tydelige tiltak

Testing er stedet der strategi møter virkelighet. Det er på denne måten ledere kan være sikre på at motstandskraft ikke bare er en policy, men en reell kapasitet i virksomheten.

Tredjepartsrisiko: Styring av eksterne leverandører

En stor andel av IKT-risikoen ligger hos tredjepartsleverandører, som skytjenester, fintech-partnere og andre kritiske aktører. DORA er tydelig: ansvaret blir værende hos styret og ledelsen, selv ved outsourcing.

Dette krever:

  • Gjennomføre due diligence før man tar inn nye IKT-leverandører

  • Klare kontrakter som definerer sikkerhet, resiliens og rapporteringskrav

  • Løpende oppfølging av leverandørens ytelse og sikkerhet

  • Exit-strategier dersom leverandøren ikke kan levere trygt

For ledere handler dette om å erkjenne at resiliens også er et spørsmål om leverandørkjeden. Solid styring av leverandører er nå både et regulatorisk krav og en forretningsmessig nødvendighet.

 

Tilsynsforventninger: Dialog og dokumentasjon

DORA legger opp til tett europeisk koordinering mellom tilsynsmyndigheter. Bedrifter må være forberedt på økt kontroll og flere krav til dokumentasjon.

Styret og ledelsen må sikre at:

  • Styringsbeslutninger og risikovurderinger er godt dokumentert

  • Det finnes klare spor av hendelser, testing og leverandøroppfølging

  • Selskapet kan vise til faktisk gjennomføring, ikke bare planer

I praksis betyr dette å være forberedt på tett tilsynsdialog, og å betrakte regulatorer som sentrale interessenter i digital resiliens.

 

Slik får styret og ledelsen DORA-styring til å fungere i praksis

Compliance kan ikke reduseres til en sjekkliste. Effektiv styring betyr en kontinuerlig syklus av planlegging, gjennomføring, testing og evaluering.

Ledere bør fokusere på:

  • Målbare mål: Klare KPI-er for resiliens og risikoreduksjon

  • Regelmessig rapportering: Synlighet av fremdrift og hendelser til styret

  • Tverrfaglig samarbeid: Fora hvor CIO, CISO, compliance og risikostyring samordner innsatsen

  • Leverandøroppfølging: Aktiv risikostyring utover egne systemer

Når dette henger sammen, blir resiliens en integrert del av driften, og mer enn bare et compliance-krav.

Risikoen ved å ignorere DORA

Å ikke etterleve DORA kan få alvorlige konsekvenser. Reguleringene åpner for betydelige bøter, og ved grov uaktsomhet kan styremedlemmer eller ledere holdes personlig ansvarlige.

Men det største tapet er ofte omdømmet. En cyberhendelse som avslører svak styring kan svekke både kunde- og investortillit, og dermed konkurranseevnen. For finansinstitusjoner, der tillit er kjernekapitalen, er dette den største risikoen.

 

Utover compliance: Hvordan DORA styrker tillit og konkurransekraft

De gode nyhetene er at de som tar DORA på alvor, ikke bare unngår risiko – de bygger styrke. Ved å integrere resiliens i styring og drift kan selskaper:

  • Redusere eksponering for cybertrusler

  • Styrke tilliten hos kunder, partnere og regulatorer

  • Ta en konkurransefordel i et marked der resiliens er en differensiator

Kort sagt handler ikke DORA bare om compliance. Det handler om lederskap, tillit og å gi virksomheten din et konkurransefortrinn.
Vis hele posten