DORA: Seks måneder senere og masser af arbejde stadig at gøre

Af Phil Muncaster • August 14 2025

Sikkerheds- og compliance-teams havde en travl start på 2025. Mellem deadline for medlemsstaternes implementering af NIS 2 i lokal lovgivning og starten på det nye PCI DSS 4.0-regime kom DORA: Lov om digital og operationel robusthedFra den 17. januar forventedes det at omfatte over 22,000 finansielle servicevirksomheder og deres IKT-leverandører, der opererer i EU.

Der er kun ét problem. Ifølge ny forskning mener 96 % af europæiske finansielle servicevirksomheder stadig ikke, at deres digitale robusthed er tilstrækkelig til at opfylde DORA's strenge krav. Og mange IT- og sikkerhedsteams føler sig overvældede af den ekstra arbejdsbyrde. Det er her, at ISO 27001-overholdelse kan være nyttig.

En ny æra af finansiel modstandsdygtighed

Cyberhændelser i de seneste to årtier har forårsaget direkte tab på 12 milliarder dollars for globale finansvirksomheder, ifølge IMFDette er ikke kun en finansiel risiko; det kan udgøre en systemisk risiko for hele den kritiske nationale infrastruktur. DORA er Europa-Kommissionens svar: en ny forordning, der er designet til at sikre, at finansielle virksomheder – og især deres leverandører – har modstandsdygtigheden til at fortsætte driften, selv i perioder med alvorlige forstyrrelser.

Det gør den ved samtidig at harmonisere regler og hæve barren for sikkerheds- og compliance-teams inden for området. Der er fem nøglesøjler:

IKT-risikostyring: Robuste politikker til at identificere, vurdere og afbøde IKT-risici.
Hændelsesrapportering: Rettidig og standardiseret rapportering af væsentlige IKT-relaterede hændelser til relevante myndigheder.
Digital modstandstest: Regelmæssig testning for at evaluere en organisations beredskab på forstyrrelser.
Tredjeparts risikostyring: Sikring af, at finansielle institutioner overvåger og styrer risici forbundet med deres forsyningskæde.
Informationsdeling: Tilskyndelse til deling af trusselsintelligens inden for industrien for at forbedre den kollektive modstandskraft.

Et stykke vej endnu

Desværre går tingene ikke helt efter planen, hvis resultaterne af en ny Veeam-undersøgelse er til at tro på. Virksomheden spurgte over 400 IT/compliance-beslutningstagere i Storbritannien, Frankrig, Tyskland og Holland. Den resulterende rapport viser, at 94 % nu prioriterer DORA højere end de havde en måned før deadline, og den samme andel er klare over, hvilke skridt de skal tage. Alligevel lever langt de fleste stadig ikke op til DORA's standarder for modstandsdygtighed.

Veeam hævder, at mange virksomheder ikke har budgettet (20%) til at overholde DORA, og i nogle tilfælde kæmper de med højere leverandøromkostninger (37%), som deres IKT-partnere videregiver. To femtedele (41%) rapporterer også øget stress og pres på deres IT- og sikkerhedsteams.

Kun halvdelen har integreret DORA's krav i deres bredere resiliensprogrammer. Veeams regionale vicedirektør for Storbritannien og Irland, Drew Gardner, mener, at mange af disse mangler og forsinkelser i overholdelse af regler kan skyldes tredjepartsansvar.

"Med så mange funktioner dækket af disse tredjeparter, ville mange organisationer have antaget, at deres produkter overholdt DORA, men det er simpelthen ikke tilfældet," fortæller han ISMS.online. "Med så mange aftaler, der mangler modeller for delt ansvar, kunne en organisation have antaget, at compliance faldt ind under deres udbyders paraply, mens udbyderen troede det modsatte."

Hvor de fejler

Data fra rapporten bakker Gardners synspunkt op. En tredjedel (34%) af de adspurgte hævder, at den sværeste del af compliance er tredjepartsrisikoovervågning. En femtedel har endnu ikke engang forsøgt det.

"Det store antal tredjepartsudbydere, som den gennemsnitlige finansielle serviceorganisation arbejder med, er sandsynligvis langt op i snesevis, og de fleste vil operere under den såkaldte "black box"-model – hvilket giver ringe indsigt i deres sikkerhedsforanstaltninger," siger Gardner.

"For dem, der endnu ikke har etableret dette tredjepartstilsyn, vil det ikke være nogen lille opgave at opklare dette, og organisationerne har ikke råd til at udsætte det."

Andre områder, som mange organisationer endnu ikke er begyndt at tage fat på, omfatter:

Genopretnings- og kontinuitetstest (24%)
Hændelsesrapportering (24%)
Valg af en DORA-implementeringsleder (24%)
Digital test af operationel robusthed (23%)
Backupintegritet og sikker datagendannelse (21%)

Kom tilbage på banen

Med så meget stadig at gøre, såvel som at håndtere andre prioriteter, kan overholdelse af DORA virke som en skræmmende opgave. Gardner argumenterer dog for, at implementering af bedste praksis standarder og rammer kan "lette" compliance-byrden betydeligt.

"Især med ISO 27001 kan organisationer reducere dobbeltarbejde og strømline overholdelsen af flere regler, hvilket sparer både tid og ressourcer," forklarer han.

"Den strukturerede tilgang til risikostyring betyder, at organisationer kan identificere og afbøde potentielle sikkerhedsrisici på en systematisk måde i stedet for at bekæmpe brande på flere fronter samtidigt. Dette forbedrer den overordnede sikkerhedstilstand og giver en klar og dokumenteret proces til at demonstrere overholdelse af reglerne over for revisorer og tilsynsmyndigheder."

James Hughes, CTO for virksomheder hos Rubrik, opfordrer organisationer til at integrere DORA-compliance i de daglige processer i stedet for at behandle det som et engangsprojekt.

"Seks måneder senere gør DORA mere end blot at øge compliance-byrden; det fremtvinger reelle operationelle ændringer. Men der er en fare for, at det bliver endnu en øvelse i at afkrydse regler, hvis CISO'er ikke ændrer deres tankegang," fortæller han ISMS.online. "Det handler ikke om at bestå revisioner, det handler om at være i stand til at modstå og komme sig over reelle angreb med minimal nedetid for virksomheden."

Over en femtedel (22%) af de organisationer, der er blevet adspurgt af Veeam, argumenterer for, at DORA's design kunne have været forbedret for at øge compliance-raterne. De har opfordret til forenkling, afklaring og mere detaljeret vejledning i, hvordan man håndterer tredjepartsrisiko. Det kan komme fra tilsynsmyndighederne, men det kan ikke ske. I mellemtiden er det ikke for sent at begynde at udfylde de huller, som undersøgelsen har fremhævet, argumenterer Hughes.

"Start med at kortlægge dine kritiske IKT-aktiver, øve hændelsesrespons og vurdere leverandørrisiko," konkluderer han. "Men i sidste ende er det tid til at intensivere arbejdet – angribere vil ikke vente på, at dit papirarbejde indhenter det forsømte."

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Læs mere fra Phil Muncaster

Cyber sikkerhed 6 januar 2026

Fem sikkerheds- og compliance-tendenser at holde øje med i 2026

Hvordan kan de kommende 12 måneder se ud for cybersikkerheds- og compliance-professionelle? Vi har gransket nyhederne og absorberet branchens forudsigelser...

Phil Muncaster

Cyber sikkerhed 11 December 2025

Er et sikkerhedsbrud på agentbaseret AI uundgåeligt i 2026?

Er et Agentic AI-sikkerhedsbrud uundgåeligt i 2026?

Det er måske tre år siden, at lanceringen af ChatGPT startede et nyt teknologisk våbenkapløb, men alle øjne er nu rettet mod agent-AI. Fortalere hævder, at det vil...

Phil Muncaster

Information Security 9 December 2025

et år med compliance fem ting vi lærte i 2025 banner

Et år med overholdelse af regler: Fem ting vi lærte i 2025

De seneste 12 måneder har endnu engang bevist, at cybersikkerhedslandskabet sjældent er mangelfuldt med hændelser. Store sikkerhedsbrud koster organisationer ...

Phil Muncaster