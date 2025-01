I en kronikk fra advokat Ove André Vanebo, fra mars i fjor, skriver han om de potensielt høye kostnadene ved implementeringen av forordningen. Vanebo peker på at finansforetakene allerede har et godt grunnlag gjennom eksisterende regelverk som IKT-forskriften, men at DORA stiller langt mer detaljerte krav.

FÅR HENVENDELSER: Ove André Vanebo i Kluge Advokatfirma. Foto: Kluge Advokatfirma

«Finanstilsynet mener regelverket kan føre til lavere risiko for skadelige IKT-hendelser, og dermed gi besparelser for foretakene. Basert på de detaljerte kravene, vil det overraske meg om ikke totalpakken blir netto dyrere for foretakene,» skriver den tidligere FpU-lederen.

Overfor Finansavisen utdyper Vanebo, og sier at det fortsatt er mye usikkerhet og forvirring rundt DORA.

– Det er fortsatt usikkert om regelverket innebærer noe helt nytt, eller om man kan bruke det man allerede har. Nå begynner det å komme veiledere fra EU, som tyder på at det er en del nye krav vi må forholde oss til, sier han.

– Jeg hadde trodd at det kom til å være mye mer henvendelser i fjor. Men det vi ser, er at når reglene begynner å gjelde i EU, begynner folk å få litt panikk, og så ringer de oss først nå, legger han til.

Les også – Investering i helseteknologi vil øke Blant helsesektorens største utfordringer er mangel på personell og økonomiske ressurser. Det bidrar til økt behov for ny og smart teknologi.

Må prioritere

Bock er enig i at kostnadene vil variere, men mener det er viktig å se på DORA som en mulighet til å styrke virksomhetens IT-struktur. For små selskaper kan det være en utfordring å ha nok ressurser internt, men hun anbefaler en forenklet tilnærming.

– For små selskaper handler det om å prioritere de viktigste forretningsprosessene. Identifiser hva som er kritisk for at selskapet skal fungere, og fokuser på det. Ikke tenk på DORA som et gigantisk compliance-prosjekt, men som en måte å sikre at kjerneprosesser fungerer trygt, sier sikkerhetsdirektøren.

En viktig del av DORA er også håndteringen av tredjepartsleverandører. Mange finansforetak er avhengige av outsourcet IT-drift, og DORA pålegger selskapene å inngå detaljerte avtaler med leverandører for å sikre at de etterlever strenge sikkerhetsstandarder.

– Dette gir en mulighet til å få bedre kontroll over risiko og IT. Det er en sjanse til å gjennomgå hva man faktisk driver med, hvor avhengig man er av digitale løsninger, og hva som må til for å sikre overlevelse dersom noe uforutsett skjer.

Les også – Det svake IT-markedet vil fortsette i 2025 IT-giganten TietoEvry ser ingen lysning i etterspørselen med det første.

– Hold fokus

Bock tror ikke det nye regelverket vil sette europeiske selskaper i en dårligere posisjon globalt, men snarere en fordel. Regelverket bygger på internasjonalt kjente standarder, og hun peker på at mange amerikanske reguleringer er like strenge, særlig når det gjelder IT-sikkerhet.

– Den største forskjellen ligger på personvern, der vi i Europa har GDPR, som er mer omfattende. Men når det gjelder regelverk som DORA eller NIS2, finnes det veldig like og strenge krav i USA, sier Bock.

Videre mener Bock at selskaper må fokusere på det som faktisk skaper verdi i implementeringen, i stedet for å bruke det som en anledning til å rydde opp i alt mulig annet.

– DORA er ment å styrke virksomhetene, ikke å straffe dem. Hvis man klarer å implementere kravene på en smart måte, kan det gi både økt sikkerhet og konkurransefortrinn, sier Bock som påpeker at nøkkelen for mindre selskaper blir å avgrense prosjektet og fokusere på de viktigste prosessene.

– Det kan være fristende å bruke DORA til å rydde opp i alt, men det er viktig å holde fokus. Ikke gjør prosjektet større enn det må være, legger hun til.