De viktigste nyhetene om

↳ bank, finans og teknologi

Nyhetsbrev

 Logg inn

REGULERING

DORA trer i kraft 1. juli: – Husk at det ikke er en compliance-øvelse, men en kulturendring

Finans Norge oppfordrer alle til å sjekke ut organisasjonens veileder for forordningen som forrige uke fikk endelig dato i Norge.

Fagdirektør for cybersikkerhet Pål Christian Waag i Finans Norge med veilederen på DORA.
Martin Fuglseth Kolden
Journalist
Publisert

Forrige uke ble det bestemt i statsråd at forordningen DORA (digital operasjonell motstandsdyktighet) i finanssektoren trer i kraft 1. juli 2025. 

– Nå skjer det. Husk at det ikke er en compliance-øvelse, men en kulturendring. En kulturendring som innebærer at sikkerhet er en del av forretningsprosessene og inngår i alle digitale prosesser, sier fagdirektør for cybersikkerhet Pål Christian Waag i Finans Norge.

Veileder

Bransjeorganisasjonen oppfordrer medlemmene til aktivt bruk av Finans Norges veileder, som ble publisert i januar da forordningen ble gjeldende i EU. Da fortalte Waag til BankShift at man måtte tenke kulturendring i hele bedriften.

– Det handler om å holde seg til intensjonen. Vi skal ikke lage det til en compliance-øvelse, men dette skal bidra til kulturendring hos organisasjonen. Det er det som er intensjonen, og det er det vi må få til om vi skal lykkes. DORA vil treffe hele bedriften, så vi må implementere kravene i allerede eksisterende, styrende dokumenter, sa Waag.

Han kunne da også si at følelsen av å snakke med andre kolleger fra andre land, at Norge lå godt an når det kom til implementeringen av DORA. Finans Norge har oppsummert forordningen med følgende punkter:

  • Kodifisere finansinstitusjoners håndtering av IKT-risiko.
  • Sikre et felles nivå på IKT-sikkerhet i finanssektoren.
  • Tydeliggjøre at selskapets ledende organer må være kompetente og har ansvaret for håndtering av IKT-risiko. Heve kompetansen også hos tilsynsmyndigheter.
  • Skape en infrastruktur for å utbytte informasjon om IKT-hendelser.
  • Tydeliggjøre og harmonisere krav til tredjepartsleverandører.

Om veilederen fortalte Waag at det gjelder å hjelpe medlemmene med å ta gode vurderinger.

– Kravene kommer i flere former og farger som igjen betyr enormt med arbeid. Med veilederen vil vi harmonisere kravene som blir stilt, sånn at vi kan hjelpe medlemmene å gjøre gode vurderinger, og gjøre det tydelig for leverandørene så de vet hva som stilles av krav fra den andre siden, sånn at det blir mindre arbeid, sa Waag.

Forventer etterlevelse fra dag én

Seksjonsleder for tilsyn med IT og betalingstjenester Olav Johannessen i Finanstilsynet kunne fortelle til BankShift da DORA ble implementert i EU at Finanstilsynet forventer at de norske selskapene er godt forberedt på regelverket.

– Vi forventer høy grad av etterlevelse fra dag én. Basert på at det er et kjent regelverk, uten særlig valgmuligheter, bør foretakene ha tatt dette inn over seg og ha forberedt seg godt, sa Johannessen da.

Men, han påpekte også at tilsynet nok ikke hadde gått i gang med tilsyn på området på mandag, om det er en fredag regelverket implementeres, til tross for at han også sa at det vil være naturlig å starte med tilsyn på området relativt raskt etter implementering.

Mer om DORA:
cybersikkerhet kulturendring ikt-risiko finans norge dora regulering pål christian waag

Se alle