Redaktionel vurdering

DORA gør koncentrationsrisiko og tredjepartsafhængighed konkret. Det er en model for, hvordan andre sektorer kan komme til at behandle kritiske digitale leverandører.

Hvad er sket?

Den 17. januar 2025 fandt DORA anvendelse. Reglerne retter sig mod den finansielle sektors digitale operationelle robusthed og omfatter blandt andet ICT-risikostyring, hændelser, test, informationsdeling og tredjepartsleverandører.

Det betyder, at leverandører af kritiske ICT-tjenester bliver en del af en mere systematisk styringsramme.

Hvorfor er det relevant for digital suverænitet?

Finanssektoren er et tydeligt eksempel på, at digital afhængighed ikke kun handler om datas placering. Det handler om, hvorvidt en organisation kan fortsætte, genskabe og dokumentere drift, når kritiske digitale tjenester svigter.

DORA gør koncentrationsrisiko, outsourcing og leverandørstyring til bestyrelses- og ledelsesstof.

Hvad bør beslutningstagere holde øje med?

  • Om kritiske ICT-leverandører kan kortlægges på tværs af kontrakter og funktioner.
  • Om outsourcingaftaler indeholder audit, exit, hændelsesrapportering og underleverandørkontrol.
  • Om organisationen tester praktisk genopretning, ikke kun dokumenterer planer.

Kilder

Dette er generel information og ikke juridisk rådgivning.