Digital Operational Resilience Act, eller DORA-förordningen, ställer nya gemensamma krav på hur finansiella verksamheter i EU ska förebygga, hantera och återhämta sig från IT-relaterade störningar. Det spelar ingen roll om avbrottet orsakas av ett cyberangrepp, en molnleverantör som faller eller ett internt konfigurationsfel. Syftet är att säkerställa att verksamheten fortsätter fungera, kunddata skyddas och förtroendet i systemet består. I den här artikeln får du en översikt, praktiska exempel och konkreta steg för att komma igång.
DORA utgår från fem byggstenar: styrning och riskhantering, incidentrapportering, testning av digital motståndskraft, hantering av tredjepartsrisker samt informationsutbyte. I praktiken betyder det att ledningen måste äga IT-riskerna och få regelbundna rapporter, att allvarliga incidenter ska rapporteras snabbt och strukturerat, och att kontinuitets- och återställningsplaner ska testas realistiskt. För en mindre betalaktör kan detta vara så enkelt som att definiera RTO och RPO för kritiska system, köra en återställningsövning varje kvartal och dokumentera lärdomar.
Ett konkret upplägg jag ofta rekommenderar är att börja med en kartläggning av affärskritiska tjänster och deras beroenden, inklusive moln, nätverk och identitetstjänster. Därefter sätter man trösklar för incidentklassning, etablerar ett ärendeflöde med ansvariga roller och tidsgränser, och inför ett enkelt men konsekvent testprogram. Till sist formaliseras leverantörsstyrningen: tydliga SLA:er, rätten att revidera, samt exitplaner om en partner fallerar. Redan efter ett par cykler brukar organisationen upptäcka små flaskhalsar som, när de åtgärdas, kraftigt förbättrar återhämtningstiden.
Många oroar sig för att DORA ska kväva innovation, men rätt tolkad blir den en accelererare. Exempel: ett fintech-bolag som skalar i molnet kan fortsätta växa snabbt, men kompletterar med en leverantörsregisterbok, riskklassning per tjänst och årliga tester av återställningsbanor. Vid onboarding av en ny API-tjänst används en checklista för säkerhet, dataöverföring och loggning. På så sätt slipper man paniklösningar senare, när en tillsynsfråga eller ett driftstopp annars hade sinkat lanseringen.
Det här märks särskilt i avtalshanteringen. Viktiga klausuler är rätt till insyn och revision, incidentrapporteringstid, geografisk datahantering och tydliga prestationsmått. Glöm inte exitplanen: kan ni flytta arbetslaster inom rimlig tid om leverantören havererar eller byter villkor? Ett praktiskt tips är att köra en årlig tabletop-övning där ni simulerar att primär molnregion går ner och ni tvingas aktivera failover. Lärdomar härifrån blir guld värda i nästa avtalsförhandling och i er efterlevnad av dora förordningen.
Sammanfattningsvis stärker DORA-förordningen både robusthet och kundförtroende när den omsätts i tydlig styrning, realistiska tester och smart leverantörskontroll. Börja med att kartlägga kritiska tjänster, sätt mätbara mål för återhämtning och bygg ett återkommande testprogram. Nästa steg är att säkerställa att avtal, incidentprocesser och roller är på plats. Vill du fördjupa arbetet, boka en intern workshop, genomför en enkel tabletop-övning redan denna månad och ta dialogen med dina nyckelleverantörer. Ju tidigare du börjar, desto snabbare ser du vinsterna i stabil drift och tryggare utvecklingstakt.