Livet efter deadline: At forvandle DORA-overholdelse til operationel stabilitet

Af René Millman • 13 januar 2026

Panikken fra januar 2025 er for alvor overstået. Men for finanssektorens mest succesrige ledere er det virkelige arbejde, og den virkelige belønning, kun lige begyndt. Vi undersøger, hvordan Digital Operational Resilience Act har flyttet samtalen fra "undgå bøder" til "beskytte indtægter".

Mens mange betragtede Digital Operational Resilience Act (DORA) som en byrde for compliance, har de sidste tolv måneder afsløret dens sande funktion: det er en skabelon for oppetid. Vi ser nu håndgribelige beviser på, at de specifikke mekanismer, som DORA håndhæver, nemlig grundig digital testning og dybdegående kortlægning af forsyningskæder, gør mere end at tilfredsstille tilsynsmyndighederne. De forhindrer indtægtsdræbende afbrydelser.

For at forstå hvorfor, er vi nødt til at se på det kulturelle skift, der fandt sted i bestyrelseslokalet.

De afbrydelser, der ikke skete

Det er svært at tro, at der er gået et helt år siden deadline den 17. januar. Tænk tilbage på slutningen af 2024: de hektiske gap-analyser, de sene nætter med granskning af IKT-tredjepartskontrakter og kampen for at kortlægge kritiske funktioner.

For mange var det målstregen. Men for "vinderne" af 2025 var det startskuddet til en ny æra inden for aktivt forsvar.

"Mange organisationer ser udelukkende DORA som en regulatorisk hindring," siger Chris Newton-Smith, administrerende direktør for ISMS.online. "Men det mest kritiske skift, virksomheder bør foretage, er at stille de rigtige spørgsmål om deres compliance. Alt for mange fokuserer på 'Er vi compliante?', når det mere værdifulde spørgsmål er 'Hjælper vores compliance os rent faktisk med at fortsætte driften, når noget går galt?'"

Som Newton-Smith bemærker, når man ændrer tankegangen, "holder compliance meget hurtigt op med at være en øvelse i at afkrydse felter og begynder aktivt at beskytte organisationen."

Den måske mest betydningsfulde effekt af DORA har været de "usynlige sejre", de afbrydelser, der aldrig opstod.

For at forstå omfanget af dette skift, er vi nødt til at se på branchens tankegang, lige da reglerne trådte i kraft. Etienne Bouet, Senior Manager hos konsulentfirmaet Wavestone, advarede i januar 2025, at branchen risikerede at gå glip af pointen, hvis de kun fokuserede på papirarbejdet.

"DORA bør ikke blot ses som en compliance-øvelse," bemærkede Bouet dengang. "Ja, der er lovgivningsmæssige krav, der skal opfyldes, men den virkelige udfordring ligger i at opbygge modstandsdygtighed ... compliance alene er utilstrækkelig, hvis den ikke kommer med reelle forbedringer i modstandsdygtighed."

De, der fulgte dette råd, høster nu frugterne. I de sidste tolv måneder har vi set organisationer gå fra at have et "papirskjold", politikker, der siger, at de er sikre, til en "Iron Dome" med aktivt forsvar. Dette var ikke valgfrit. DORA-kravet om at demonstrere, hvordan man ville komme sig efter en alvorlig IKT-forstyrrelse, tvang teams til at teste deres teorier.

Resultatet er et landskab af systemer, der rent faktisk genopretter sig. Da mindre cloudkonfigurationsfejl ramte betalingsudbydere tidligere på året, gik de DORA-kompatible banker ikke i dvale. Deres redundansprotokoller, der blev testet og forfinet under DORA's søjle for digital operationel robusthedstestning, trådte automatisk i kraft.

En ny æra af modenhed

Dette skift markerer en modning af branchen. I årevis var især FinTech-sektoren præget af hurtig vækst, ofte på bekostning af stabilitet. DORA har effektivt fremtvunget en "voksen" samtale om risiko.

Midt i 2025 var belastningen af denne overgang synlig. Folketælling i hele undersøgelse offentliggjort i juli 2025 afslørede, at seks måneder efter ordningens ikrafttrædelse følte 96 % af EMEA-finansorganisationerne stadig, at deres datarobusthed "ikke var, hvor den skulle være".

Den statistik fremhæver en kløft i markedet. På den ene side de 96%, der kæmpede med at modernisere robusthed i ældre systemer. På den anden side de agile "vindere", der brugte DORA som en skabelon til at modernisere deres arkitektur.

For vinderne er det "slut på at gå hurtigt og ødelægge tingene" det, bestyrelsen nu er interesseret i. Når sikkerhedsledere præsenterer årsrapporter, oplister de ikke længere kun compliance-status. De oplister den anslåede omsætning, der er sparet, fordi systemerne holdt sig oppe, når konkurrenterne ikke gjorde det.

Forsyningskæde: Sammenkoblingens "puslespil"

Hvis 2024 var året for "tillidsfulde" leverandører, har 2025 og 2026 været årene med overvågning af dem. Afhængigheden af tredjeparter har altid været en kendt risiko, men DORA tvang organisationer til at kvantificere den.

Olaf Jonkers, Chief Internal Security Officer hos den digitale identitetsplatform itsme, fremhævede dette skift i ansvarlighed tilbage i februar 2025.

"DORA sikrer, at IKT-udbydere, der leverer tjenester til finansielle institutioner (FSI'er), holdes tilstrækkeligt ansvarlige for at opretholde en stærk intern styring," Jonkers forklarede"Dette er meget vigtigt, fordi finansielle institutioners voksende afhængighed af IKT-udbydere betyder, at et systemnedbrud eller et brud pludselig kan reducere driften til en lille brøkdel."

DORAs fokus på ICT-tredjepartsrisikostyring (TPRM) tvang organisationer til at kortlægge disse afhængigheder. Sikkerhedsteams opdagede sandsynligvis, at en "kritisk" funktion var afhængig af en leverandør, der var afhængig af en anden leverandør, der ikke havde nogen backupplan.

Den indledende kortlægning var smertefuld. Men den operationelle fordel har været enorm. Vi er ikke længere overrumplet af fjerdepartsfejl. Tidligere var et leverandørudfald en gyldig undskyldning: "Det er ikke vores skyld, det er cloududbyderen." Den undskyldning går ikke længere op for kunderne, og bestemt ikke for tilsynsmyndighederne. På grund af DORA er exitstrategier og multi-vendor-opsætninger for kritiske funktioner nu standardpraksis.

Compliance som værdiskaber

Faren i denne verden efter deadlines er selvtilfredshed. Risikobilledet ændrer sig dagligt; hvis dokumentation af modstandsdygtighed er statisk, er en organisation allerede ikke-compliant.

Vi har set mange teams kæmpe i løbet af det sidste år, fordi de behandlede DORA som et "engangsprojekt". De opbyggede deres informationsregister i Excel, arkiverede det og har ikke kigget på det siden. Disse data er nu forældede.

"Prioriteten er at holde compliance 'levende' og operationel," råder Newton-Smith. "Vi ser, at rammer som DORA leverer mest værdi for virksomheder, når deres ledelse har et realtidsbillede af compliance ... Det betyder, at virksomheder skal bevæge sig ud over statiske dokumenter og manuel sporing hen imod værktøjer, der tilbyder løbende tilsyn."

Det er ikke længere muligt at styre dynamisk operationel robusthed med statiske værktøjer. Sikkerhedsledere har brug for et "live" overblik over risici. Hvis en nøgleleverandørs sikkerhedscertifikat udløber, bør risikoregisteret opdateres med det samme.

Modstandsdygtighed er indtægter

"Frygt, usikkerhed og tvivl" (FUD) æraen med salg af cybersikkerhed er forbi. DORA har skubbet branchen ind i en æra med modstandsdygtighed som en værdidriver.

De organisationer, der vinder i 2026, vil ikke være dem, der lige akkurat "slap igennem" sidste januar. Det er dem, der brugte rammeværket til at styrke deres drift. De oplever færre nedetid, håndterer leverandørrisici proaktivt og sover bedre om natten, velvidende at deres genopretningsplaner rent faktisk virker.

For at forstå den sande værdi af dette skift, bør ledere se tilbage på deres hændelseslogfiler for de sidste seks måneder. Ved at identificere "nærved-ulykker", der blev fanget af de kontroller, der blev implementeret for DORA, og beregne de potentielle omkostninger, hvis disse hændelser havde eskaleret til fulde afbrydelser, bliver den økonomiske virkelighed tydelig. Dette tal, omkostningerne ved den katastrofe, der ikke indtraf, er den sande værdi af overholdelse. Deadline er forbi, men stabilitetens æra er her for dem, der har værktøjerne til at nyde den.

Rene Millman

Rene Millman er en alsidig freelanceskribent og udsender med speciale i cybersikkerhed, AI, IoT og cloud-teknologier. Sideløbende med sin rolle som medvirkende analytiker hos GigaOm, kommer han med stor erfaring som tidligere Gartner-analytiker med fokus på infrastrukturmarkedet. Rene Millman, der er kendt for sin ekspertise, har gjort hyppige tv-optrædener, delt indsigt og analyser om teknologitendenser og indflydelsesrige virksomheder, der former vores daglige liv. Hold dig opdateret med Rene Millmans indsigt ved at følge ham på Twitter.

Læs mere fra René Millman

Cyber sikkerhed August 13 2024

crowdstrike-afbrydelsen en sag for at forstærke hændelsesrespons med iso 27001 banner

The CrowdStrike Outage: A Case for Reinforcing Incident Response med ISO 27001

I juli 2024 førte en mislykket softwareopdatering fra CrowdStrike til et betydeligt globalt IT-nedbrud, der påvirkede adskillige organisationer, herunder flyselskaber,...

Rene Millman

Cyber sikkerhed 16 juli 2024

undgå de næste medisikre cybersikkerhedslektioner for virksomheder banner

Undgå det næste MediSecure: Cybersikkerhedslektioner for virksomheder

MediSecures cybersikkerhedskatastrofe fungerer som et barskt vækkeur til virksomheder: Forsømmer du digitale forsvar, risikerer du at blive...

Rene Millman

Cyber sikkerhed 11 juni 2024

hvad der kan gøres ved den nationale sårbarhedsdatabasen krisebanner

Hvad kan der gøres ved den nationale sårbarhedsdatabasekrise?

National Institute of Standards and Technology (NIST) er i en vanskelig situation, og en situation der har alvorlige konsekvenser for cybersikkerhedsteams verden over. ...

Rene Millman