DORA markerar en ny era för cybersäkerhet i finanssektorn. Men för att regelverket ska få verklig effekt krävs mer än efterlevnad. Framgången ligger i att bygga en kultur där säkerhet testas, utvärderas och förbättras över tid.
Digital Operational Resilience Act (DORA) förändrar hur finansföretag förhåller sig till cybersäkerhet. Regelverket gör säkerhet till en strategisk fråga och ställer krav på att verksamheter kan visa att skydden fungerar i praktiken. För många innebär det ett nytt sätt att tänka, där teknik, processer och ledning måste samspela.
”De som tidigare har sett IT som en stödfunktion har drabbats av chock när de nu måste arbeta med säkerhet på ett helt nytt sätt,” säger Benjamin Svensson, senior säkerhetsspecialist på Assured.
Motståndskraft som färdighet
Under lång tid har cybersäkerhet handlat om tekniska lösningar. Med DORA flyttas fokus till organisationens förmåga att förstå och förbättra sin motståndskraft över tid. Det handlar om att bygga ett lärande system där tester, analyser och incidenthantering leder till verklig förändring.
”Ibland hittar vi samma sårbarheter test efter test hos samma kunder. Det vill vi ju inte hitta. Vi hittar såklart nya saker också, men vill gärna se att det vi identifierat faktiskt har åtgärdats,” säger han.
Regelverket innebär att motståndskraft måste tränas. Säkerhet blir inte ett resultat av enskilda insatser, utan av återkommande testning och en kultur som omsätter lärdomar i praktiken.
När strukturen saknas
För stora banker och finansinstitut är DORA ofta en förlängning av redan etablerade processer. De har rutiner för testning och tydliga roller för riskhantering. För mindre aktörer, särskilt fintechbolag, innebär regelverket däremot att man måste bygga upp arbetet från grunden. Benjamin beskriver hur mindre företag ibland bara har en eller två personer på IT som ska bära hela ansvaret.
”För oss handlar det inte bara om att testa – lika viktigt är att vi verkligen hjälper kunderna att förstå resultaten och omsätta dem i verklig förbättring,” säger han.
Han förklarar att många bolag behöver börja i liten skala och låta strukturen växa i takt med verksamheten.
”Det kan handla om att börja med en riskanalys och testa en enskild funktion, och sedan utöka till fler delar året därpå,” säger han.
Att förstå sina egna risker
En grundläggande tanke i DORA är proportionalitetsprincipen, som innebär att kraven ska stå i rimlig proportion till verksamhetens storlek och riskprofil. Det gäller både företagen och myndigheterna som granskar deras arbete.
I praktiken betyder det att en mindre betalningsförmedlare inte ska bedömas utifrån samma krav som en internationell bank, utan i relation till sin egen risknivå och tekniska förmåga.
”DORA betyder inte att man ska lägga hela budgeten på cybersäkerhet, men man behöver förstå sina risker och arbeta med dem på ett kontrollerat och systematiskt sätt,” säger Benjamin.
Han ser också en tydlig förskjutning i hur organisationer tänker kring cybersäkerhet. Allt fler inser att testning inte handlar om formell efterlevnad, utan om tillit till systemen, processerna och det egna arbetet.
”Att pröva sina system på riktigt är ett bra sätt att bygga gediget förtroende – både internt och externt,” säger han.
Vad bör man då som aktör i finanssektorn göra?
Det börjar med att allokera resurser på rätt sätt. Poängen med DORA är tydlig: cybersäkerhet ska löna sig när den är integrerad i verksamheten – inte när den hanteras som en separat stödfunktion. Säkerhet behöver vävas in i processer, teknik och ledning redan från start.
Regelverket skapar i grunden en säkrare digital miljö för hela finansmarknaden. Ju tidigare man börjar, desto större blir effekten. Ett systematiskt arbete minskar risker, stärker motståndskraften och förbättrar förutsättningarna för både säkerhet och affärsframgång.
Vill ni stärka er digitala motståndskraft?
Assured hjälper finansiella verksamheter att förstå sina risker, testa sina system och bygga upp den struktur som krävs för DORA.
Läs mer om hur vi kan hjälpa er härKontakta oss för att diskutera hur vi kan stötta ert arbete med DORA och cybersäkerhet.