REGULERING

Tror kunstig intelligens kan løse strengere rapporterings­krav til Finanstilsynet

Teknologidirektør i SR-Bank tror at norske banker kan komme styrket ut av de nye rapporteringskravene som er underveis.

Teknologidirektør i SR-Bank, Charlotta Brile.
Publisert Sist oppdatert

I januar 2025 trer EU-regelverket Digital Operational Resilience Act (DORA) i kraft. Regelverket kommer med strengere krav til IT-sikkerhet for norske finansinstitusjoner. 

SR-Bank har startet arbeidet med å etterleve kravene. Bankens teknologidirektør Charlotta Brile forteller at regelverket skal bidra til å unngå ,samt redusere konsekvenser fra cyber-relaterte trusler.

– DORA forutsetter systematisk arbeid med sikkerhet i hele verdikjeden. Som bankinstitusjon har vi en kritisk oppgave i å opprettholde finansiell stabilitet i samfunnet. DORA kommer med strengere krav til IT-sikkerhet. 

Blir ressurskrevende

I praksis betyr det at de må styrke noen prosesser i banken og at oppfølgings- og rapporteringskravene til Finanstilsynet blir strengere og mer omfattende. 

– Det er mulig at deler av rapporteringen kan gjøres ved hjelp av kunstig intelligens med tiden. Rapporteringen må selvsagt kvalitetssikres av mennesker, sier Brile til Shifter.

Det er ikke klart om nye rapporteringskrav kommer til å føre til at banken må ansette flere årsverk, men alle banker må sannsynligvis videreutvikle intern teknologi for å møte kravene til DORA. Teknologidirektøren medgir at det kommer til å bli ressurskrevende å innføre regelverket.

– Det blir en del arbeid å implementere endringene, men jeg er positiv til det. Regelverket skal styrke bankenes evne til å identifisere svakheter, forbygge sårbarheter, oppdage feil, sikre at funksjoner kan gjenopprettes og at det som eventuelt går tapt kan gjenopprettes. Det kommer altså flere og strengere krav til forebygging, identifisering, oppfølging, rapportering og gjenoppretting. Dette kommer norske banker styrket ut av og vi ser det som veldig positivt for våre kunder og for oss, understreker Brile.

Ligger godt an

Brile forklarer at det fortsatt er noen detaljer i DORA-regelverket som ikke er helt klare, men at regelverkets pilarer er klare.

– Det er ikke alt som er nytt, men det kommer en del store endringer ut ifra dagens krav. DORA er mer omfattende, strengere og er tydeligere på hvem som eier risikoen. Regelverket krever også mer dokumentasjon på hvordan våre underleverandører håndterer IT-risiko. Det er laget tiltaksrapporter som sier noe om hva vi bør gjøre for å etterleve regelverket, forklarer Brile.

SR-Bank har jobbet med innføringen av det nye regelverket siden mai i år. Brile påpeker at det var viktig å komme i gang tidlig for å forberede organisasjonen. En ekstern partner har gått gjennom bankens systemer og intervjuet ansatte og ledere. Ut fra den gjennomgangen har SR-Bank fått en modenhetsvurdering.

– Vi har nå bedre kjennskap til gapet mellom bankens utgangspunkt og DORA-kravene. Det er flere områder der vi er godt forberedt og noen der vi bør gjøre forbedringer. Som forventet og som en god kvittering, så viser rapporten at vi ikke stiller på bar bakke på noen av områdene. Neste steg for å etterleve det nye regelverket blir å finne ut hvor vi skal styrke oss. Det siste steget er å gjennomføre tiltak for å oppfylle kravene. Den prosessen kommer til å kreve en del resurser, påpeker Brile.

Hun understreker at kundene kan ha full tillit til at banken håndterer kundenes data på en sikker måte.

– Vi som bank er avhengige av tillit fra våre kunder. God håndtering av kundedata er avgjørende for å opprettholde denne tilliten. I tillegg er vi underlagt strenge lover og forskrifter som krever at vi beskytter våre kunders personlige og økonomiske data, sier Brile. 

Må treffe bedre i fremtiden

Banken jobber også mye med datainnhenting og bruk av data i beslutningsprosesser. Brile mener det kommer til å bli viktig framover.

– Data og datadrevne prosesser gjør at vi blir mer treffsikre. Ved å ha god kvalitet på dataene om kunden kan vi ligge i forkant og bedre forutse og møte kundenes behov. På samme måte kan vi enklere finne kunder vi ikke ønsker, for eksempel folk som driver med økonomisk kriminalitet, forklare Brile.

Hun påpeker at et godt datagrunnlag vil gjøre at bankene kan gjøre beslutninger basert på et mer solid grunnlag. Det tar noe av gjettingen ut av bankens prosesser. Samtidig jobber de med at dataene de henter inn ikke skal diskriminere kunder.

– For oss er det viktig å sikre dataene om kundene våre, men det er like viktig å sikre at kundene ikke kommer skjevt ut på grunn av datainnhenting, understreker Brile.