DORA: Seks måneder senere og mye arbeid gjenstår

Av Phil Muncaster • 14 august 2025

Sikkerhets- og samsvarsteamene hadde en travel start på 2025. Mellom fristen for medlemslandene å implementere NIS 2 i lokal lovgivning og starten på det nye PCI DSS 4.0-regimet kom DORA: loven om digital og operasjonell robusthetFra 17. januar var det forventet at over 22,000 XNUMX finansielle tjenestefirmaer og deres IKT-leverandører som opererer i EU ville bli omfattet av virkeområdet.

Det er bare ett problem. Ifølge ny forskning mener 96 % av europeiske finansforetak fortsatt ikke at deres digitale robusthet er tilstrekkelig til å oppfylle DORAs strenge krav. Og mange IT- og sikkerhetsteam føler seg overveldet av den ekstra arbeidsmengden. Det er her ISO 27001-samsvar kan være nyttig.

En ny æra med økonomisk motstandskraft

Cyberhendelser de siste to tiårene har forårsaket 12 milliarder dollar i direkte tap for globale finansselskaper, ifølge IMFDette er ikke bare en finansiell risiko; det kan utgjøre en systemisk risiko for hele det som fungerer som kritisk nasjonal infrastruktur. DORA er Europakommisjonens svar: en ny forskrift som er utformet for å sikre at finansforetak – og viktigst av alt, deres leverandører – har motstandskraften til å fortsette driften selv i perioder med alvorlige forstyrrelser.

Dette gjøres ved å harmonisere regelverket samtidig som man hever standarden for sikkerhets- og samsvarsteamene som er involvert. Det er fem hovedpilarer:

IKT-risikostyring: Robuste retningslinjer for å identifisere, vurdere og redusere IKT-risikoer.
Hendelsesrapportering: Rettidig og standardisert rapportering av betydelige IKT-relaterte hendelser til relevante myndigheter.
Digital motstandstesting: Regelmessig testing for å evaluere en organisasjons beredskap for forstyrrelser.
Tredjeparts risikostyring: Sikre at finansinstitusjoner overvåker og håndterer risikoer knyttet til forsyningskjeden.
Informasjonsdeling: Oppmuntre til deling av trusselintelligens i bransjen for å forbedre kollektiv motstandskraft.

Et stykke å gå

Dessverre går ikke ting helt etter planen, hvis resultatene av en ny Veeam-undersøkelse er å tro. Firmaet spurte over 400 beslutningstakere innen IT/compliance i Storbritannia, Frankrike, Tyskland og Nederland. Den resulterende rapporten viser at 94 % nå prioriterer DORA høyere enn de gjorde en måned før fristen, og den samme andelen er klare på hvilke skritt de må ta. Likevel er det store flertallet fortsatt ikke opp til DORAs standarder for robusthet.

Veeam hevder at mange firmaer ikke har budsjettet (20 %) for samsvar med DORA, og i noen tilfeller har de høyere leverandørkostnader (37 %) som de får videre fra IKT-partnerne sine. To femtedeler (41 %) rapporterer også økt stress og press på IT- og sikkerhetsteamene sine.

Bare halvparten har integrert DORAs krav i sine bredere robusthetsprogrammer. Veeams regionale visepresident for Storbritannia og Irland, Drew Gardner, mener at mange av disse samsvarshullene og forsinkelsene kan skyldes tredjepartsansvar.

«Med så mange funksjoner dekket av disse tredjepartene, ville mange organisasjoner ha antatt at produktene deres overholdt DORA, men det er rett og slett ikke tilfelle», forteller han til ISMS.online. «Med så mange avtaler som mangler modeller for delt ansvar, kunne en organisasjon ha antatt at samsvar falt inn under leverandørens paraply, mens leverandøren trodde det motsatte.»

Der de mislykkes

Data fra rapporten støtter Gardners syn. En tredjedel (34 %) av de spurte hevder at den vanskeligste delen av compliance er tredjeparts risikotilsyn. En femtedel har ennå ikke engang forsøkt det.

«Det store antallet tredjepartsleverandører som en gjennomsnittlig finansiell tjenesteorganisasjon samarbeider med er sannsynligvis godt opp i dusinvis, og de fleste vil operere under svartboksmodellen – noe som gir lite innsikt i sikkerhetstiltakene deres», sier Gardner.

«For de som fortsatt ikke har etablert dette tredjepartstilsynet, vil det ikke være noen enkel oppgave å nøste opp i dette, og organisasjonene har ikke råd til å utsette det.»

Andre områder som mange organisasjoner ennå ikke har begynt å ta tak i inkluderer:

Gjenopprettings- og kontinuitetstesting (24 %)
Hendelsesrapportering (24 %)
Valg av DORA-implementeringsleder (24 %)
Digital testing av driftsrobusthet (23 %)
Sikkerhetskopieringsintegritet og sikker datagjenoppretting (21 %)

Komme tilbake på sporet

Med så mye som fortsatt gjenstår å gjøre, i tillegg til å håndtere andre prioriteringer, kan samsvar med DORA virke som en skremmende oppgave. Gardner hevder imidlertid at implementering av beste praksis-standarder og rammeverk kan «lette» samsvarsbyrden betydelig.

«Spesielt med ISO 27001 kan organisasjoner redusere dobbeltarbeid og effektivisere samsvar på tvers av flere regelverk, noe som sparer både tid og ressurser», forklarer han.

«Den strukturerte tilnærmingen til risikostyring betyr at organisasjoner kan identifisere og redusere potensielle sikkerhetsrisikoer på en systematisk måte, i stedet for å bekjempe branner på flere fronter samtidig. Dette forbedrer den generelle sikkerhetstilstanden og gir en tydelig og dokumentert prosess for å demonstrere samsvar for revisorer og regulatorer.»

James Hughes, teknisk direktør for bedrifter hos Rubrik, oppfordrer organisasjoner til å integrere DORA-samsvar i de daglige prosessene i stedet for å behandle det som et engangsprosjekt.

«Seks måneder senere gjør DORA mer enn bare å øke compliance-byrden; det tvinger frem reelle driftsendringer. Men det er en fare for at det blir nok en boks-kryss-øvelse hvis CISO-er ikke endrer tankesett», sier han til ISMS.online. «Det handler ikke om å bestå revisjoner, det handler om å kunne motstå og gjenopprette seg fra reelle angrep, med minimal nedetid for virksomheten.»

Over en femtedel (22 %) av organisasjonene som ble spurt av Veeam, hevder at DORAs design kunne vært forbedret for å øke samsvarsgraden. De har etterlyst forenkling, avklaring og mer detaljert veiledning om hvordan man håndterer tredjepartsrisiko. Dette kan komme fra regulatorene, men det kan ikke komme. I mellomtiden er det ikke for sent å begynne å tette hullene som studien avdekket, argumenterer Hughes.

«Start med å kartlegge kritiske IKT-ressurser, øve på hendelsesrespons og vurdere leverandørrisiko», avslutter han. «Men til syvende og sist er det på tide å trappe opp ting – angripere vil ikke vente på at papirarbeidet ditt skal ta igjen det tapte.»

Phil Muncaster

Phil Muncaster har vært IT-journalist i 20 år. Han startet som reporter på IT-bedriftstittelen IT Week i 2005 og gikk videre til rollen som nyhetsredaktør før han dro for å satse på en frilanskarriere. Siden den gang har Phil skrevet for titler inkludert The Register, hvor han jobbet som Asia-korrespondent mens han hadde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Les mer fra Phil Muncaster

Cyber sikkerhet 11 desember 2025

Er et sikkerhetsbrudd på agentbasert AI uunngåelig i 2026?

Er et sikkerhetsbrudd knyttet til agentisk AI uunngåelig i 2026?

Det kan være tre år siden lanseringen av ChatGPT startet et nytt teknologisk våpenkappløp, men alle øyne er nå rettet mot agent-AI. Forkjempere hevder at den vil...

Phil Muncaster

Informasjonssikkerhet 9 desember 2025

et år med samsvar fem ting vi lærte i 2025 banner

Et år i samsvar med regelverket: Fem ting vi lærte i 2025

De siste 12 månedene har nok en gang bevist at det sjelden er mangel på hendelser i nettsikkerhetslandskapet. Store sikkerhetsbrudd koster organisasjoner ...

Phil Muncaster

Cyber sikkerhet 3 desember 2025

Hva lovforslaget om cybersikkerhet og robusthet betyr for kritisk infrastruktur

Det har vært lenge underveis. Lovforslaget om cybersikkerhet og robusthet (CSRB) har blitt utsatt helt tilbake til kongens tale i 2024, og har nå endelig...

Phil Muncaster