Med implementeringen af Digital Operational Resilience Act (DORA) står bankerne over for skærpede krav til kontraktstyring af sin IKT-forsyningskæde. Vores erfaring viser, at mange banker kæmper med at sikre de nødvendige ressourcer og kompetencer internt. Manglende overholdelse kan medføre store bøder og omdømmerisici.
Hvad er DORA-forordningen?
DORA-forordningen er en EU-lovgivning, der har til formål at styrke den digitale modstandsdygtighed i den finansielle sektor.
Forordningen stiller krav til finansielle virksomheder om at beskytte sig mod, opdage, reagere på og genoprette sig fra IT-relaterede trusler og hændelser. Med DORA følger bl.a. skærpede krav til effektiv kontraktstyring af IKT-leverandører og deres underleverandører, herunder kortlægning, risikostyring, rapportering og tilsyn.
Hvornår indtrådte DORA-forordningen?
DORA-forordningen blev vedtaget som en del af EU’s digitale finansielle pakke og trådte i kraft i 2022. Forordningen har siden 17. januar 2025 fundet anvendelse på den finansielle sektor i Danmark.
Hvilke udfordringer kan DORA medføre for jer?
En væsentlig forudsætning for at have styr på sin kontraktstyring er de nødvendige ressourcer og kompetencer til at opsætte, vedligeholde og efterleve virksomhedens kontraktstyring i overensstemmelse med DORA. Behovet for disse ressourcer og kompetencer er stødt voksende, da kravene til kontraktstyring også udvikler sig i andre brancher, herunder som følge af NIS2.
Det er derfor vores erfaring, at mange banker og andre virksomheder i den finansielle sektor kæmper med at tiltrække og fastholde eksperter i kontraktstyring og compliance internt, hvilket gør DORA til en endnu større udfordring.
Hvad kræver DORA af jeres IKT-kontraktstyring?
DORA stiller bl.a. følgende krav til kontraktstyringen:
- • Kortlægning og risikovurdering af alle leverandører og deres underleverandører af IKT-tjenester.
- • Krav om hurtig hændelsesrapportering fra hele kæden.
- • Sikkerhed via tilsyn og sårbarhedsstyring i aftalerne.
- • Fuld dokumentation over leverandørkæden.
- • Opdaterede exit-strategier ved skift af leverandør eller hjemtagning.
Kan I få bøde for ikke at overholde DORA?
Manglende overholdelse kan medføre bøder på op til 1-2 % af den årlige globale omsætning. For danske banker betyder dette et spænd fra 10-20 millioner for små banker til flere hundrede millioner kroner for de store.
Lige så væsentlig er, at et cyberangreb hos en underleverandør uden tilstrækkelig sikkerhed vil kunne påvirke banken og dennes kunder og derved sætte banken i dårligt lys. Derved øges risiko for dårligt omdømme og mistede kunder, hvis banken ikke har ordentligt styr på sikkerheden hos sin IKT-forsyningskæde.
Det følger af DORA, at det er ledelsens ansvar at sikre sig og fyre tilsyn med, at banken og dennes IKT-leverandører har tilstrækkeligt styr på cybersikkerheden. Ved at gøre ledelsen ansvarlig herfor, risikerer ledelsen at ifalde et erstatningsansvar, hvis bankens kunder eller aktionærer måtte lide et tab, fordi ledelsen ikke har levet op til deres ansvar. DORA, herunder kontraktstyring af IKT-leverandører, bør derfor være et fast punkt på dagsordenen hos den daglige ledelse og bestyrelsen.
Hvordan kan I overholde DORA-forordningens krav til kontraktstyring?
Contractus tilbyder kontraktstyring som en service, der hjælper jer med at overholde DORA.
Med Contractus får I, som kunde:
- • Styr på jeres forpligtelser: Fuld kontrol over kontraktlige krav og ansvar, både internt og eksternt.
- • Risikostyring: Kortlægning og vurdering af IKT-leverandører i hele leverandørkæden.
- • Dokumentation: Sikring af tilsyn og rapportering, der opfylder DORAs krav.
- • Kontrol med ændringer: Styring og kontrol med ændringer i IKT-forsyningskæden
- • Fleksibilitet: Udarbejdelse og vedligeholdelse af exit-planer for at bevare kontrol i kritiske situationer.
- • Stabil ressourcetilgang: Med Contractus som partner har I altid tilgang til kvalificeret hjælp med DORA compliance og kontraktstyring.
