DORA markerer en ny æra for finansielle institutioner og deres leverandører. For leverandører er compliance med DORA’s krav ikke blot en nødvendighed – det er en strategisk mulighed for at styrke samarbejdet med FI’er, sikre langsigtet vækst og reducere risici som ophævelse af kontrakter.
Ved at handle nu kan leverandører positionere sig som førende aktører i et marked præget af stigende krav og konkurrence.
Er I klar til at tage føringen? Kontakt os i dag for at udvikle en strategi, der sikrer compliance og fremtidssikrer jeres virksomhed.
Vi fra Devoteams side har fokus på den finansielle sektor, og det byder helt naturligt et fokus på DORA. Denne artikel er en af de mange artikler, som vi allerede har skrevet om DORA og compliance i den finansielle sektor.
En ny realitet for tredjepartsleverandører
Finansielle institutioner (FI’er) er i stigende grad blevet afhængige af tredjepartsleverandører, og derfor er forventningerne til leverandørernes digitale robusthed og risikohåndtering naturligt steget. EU’s Digital Operational Resilience Act (DORA) er en milepæl, der har potentiale til at transformere måden, leverandører opererer og samarbejder med FI’er på.
Selvom DORA direkte retter sig mod FI’er, skaber den indirekte krav til deres leverandører. Disse krav gør det nødvendigt for leverandører at demonstrere robusthed og compliance for at forblive konkurrencedygtige og undgå risici såsom ophævelse af kontrakter. For leverandører er dette en udfordring – men også en strategisk mulighed for at styrke deres position som pålidelige og værdifulde partnere.
Denne artikel udforsker, hvordan leverandører kan opfylde DORA’s krav og forberede sig på fremtidige reguleringer, med en særlig vægt på forskellen mellem generelle krav og krav for kritiske leverandører.
DORA’s krav: Hvad betyder det for leverandører?
DORA stiller krav til FI’er om at sikre, at deres leverandører kan opretholde en høj grad af digital robusthed. Dette inkluderer krav til risikostyring, driftskontinuitet og rapportering, som alle leverandører skal tage alvorligt.
For leverandører, der vurderes som kritiske, er kravene endnu strengere og omfatter blandt andet compliance-revisioner, avanceret overvågning og Threat-Led Penetration Testing (TLPT).
At undlade at opfylde disse krav kan have alvorlige konsekvenser for leverandører, herunder tab af kunder og ophævelse af kontrakter. Omvendt kan leverandører, der proaktivt investerer i compliance, styrke deres position som foretrukne partnere i en stadigt mere reguleret sektor.
Sådan kan leverandører sikre compliance
Generelle krav for alle leverandører
- Start med en udføre en gap-analyse
- En god start er at kortlægge, i hvilken grad man allerede lever op til DORA’s krav og hvor man har mangler En gap-analyse kan identificere områder, der kræver forbedring, og hjælpe med at prioritere handlinger. Analysen gør det også muligt at adressere risici, såsom kontraktophævelse, der kan true forretningen.
- En god start er at kortlægge, i hvilken grad man allerede lever op til DORA’s krav og hvor man har mangler En gap-analyse kan identificere områder, der kræver forbedring, og hjælpe med at prioritere handlinger. Analysen gør det også muligt at adressere risici, såsom kontraktophævelse, der kan true forretningen.
- Opbyg stærke risikostyrings- og overvågningssystemer
- Implementér processer til at identificere og overvåge digitale risici. Dette inkluderer avancerede værktøjer og forebyggende kontroller, der kan reducere sandsynligheden for hændelser.
- Implementér processer til at identificere og overvåge digitale risici. Dette inkluderer avancerede værktøjer og forebyggende kontroller, der kan reducere sandsynligheden for hændelser.
- Fokuser på driftskontinuitet
- Udarbejd beredskabsplaner, der sikrer, at ydelser kan opretholdes under forstyrrelser. Redundans og regelmæssige tests af systemer og procedurer er afgørende for at minimere risikoen for nedetid.
- Udarbejd beredskabsplaner, der sikrer, at ydelser kan opretholdes under forstyrrelser. Redundans og regelmæssige tests af systemer og procedurer er afgørende for at minimere risikoen for nedetid.
- Styrk gennemsigtigheden over for kunderne
- Leverandører skal være i stand til at dele detaljerede rapporter om risikostyring, compliance og hændelseshåndtering. Dette skaber tillid og sikrer, at FI’er kan overholde deres egne regulatoriske forpligtelser.
Særlige krav for kritiske leverandører
- Compliance-revisioner
For at sikre overholdelse af DORA, vil kritiske leverandører blive underlagt regelmæssige audits. Revisionernes audits har til formål at bekræfte om der er:- Opdaterede processer og dokumentation.
- Aktivt samarbejde med revisorer og finansielle kunder.
- Evne til hurtigt at implementere anbefalinger fra audits.
- Avanceret overvågning
Kritiske leverandører forventes at have implementeret avanceret overvågning. Dette indebærer brugen af realtidsværktøjer, der hurtigt kan identificere og håndtere potentielle trusler.
Threat-Led Penetration Testing (TLPT)
TLPT er et særligt krav til kritiske leverandører, der simulerer avancerede cyberangreb. Disse tests udføres i samarbejde med finansielle kunder og uafhængige eksperter for at identificere eventuelle svagheder og styrke modstandsdygtigheden over for cybertrusler. Det er de finansielle institutioner, der tager initiativ til at gennemføre TLPT med leverandøren.
Risikoen ved manglende compliance
En af de mest alvorlige konsekvenser ved ikke at opfylde DORA’s krav er risikoen for ophævelse af kontrakter. FI’er er juridisk forpligtede til kun at samarbejde med leverandører, der lever op til lovgivningens krav. Manglende compliance kan føre til:
- Tab af tillid fra eksisterende og potentielle kunder.
- Økonomiske tab som følge af brudte kontrakter.
- Negativ indflydelse på virksomhedens omdømme og fremtidige vækstmuligheder.
Ved proaktivt at investere i compliance demonstrerer leverandører ansvarlighed og pålidelighed. Dette styrker ikke kun samarbejdet med finansielle institutioner, men sikrer også langsigtet konkurrenceevne i en stadig mere reguleret sektor.
Fremtidens krav kræver handling nu
Selvom DORA i dag primært fokuserer på FI’er, er det tydeligt, at fremtidige reguleringer vil stille lignende krav til andre sektorer. For tredjepartsleverandører er det derfor afgørende at hæve deres resiliens nu – af tre hovedårsager:
- Proaktiv forberedelse på fremtidige krav
Investering i compliance og robusthed i dag vil sikre, at leverandører hurtigt kan tilpasse sig fremtidige reguleringer. - Styrkelse af relationen til FI’er
Finansielle institutioner foretrækker samarbejdspartnere, der kan understøtte deres compliance og operationelle robusthed.
Konkurrencefordele
Robusthed, gennemsigtighed og evnen til at opfylde regulatoriske krav er væsentlige differentieringsfaktorer, der kan tiltrække nye kunder og fastholde eksisterende.
Authors
-
Martin J. Ernst
Head of Financial Services -
Michelle Venge
Principal Consultant