I de tidiga stadierna av de flesta DORA-program tenderar finansiella institutioner att se efterlevnad som en regulatorisk skyldighet, en nödvändig kostnad snarare än en strategisk möjlighet. Denna inställning är särskilt vanlig på ledningsnivå. Med tiden förändras dock denna uppfattning. Som en nationell regulator uttrycker det: "Att hålla kapital är lika viktigt som att ha ordning på sin resiliens. Och då märker man att företagen behöver lära sig detta. Vad man fortfarande ser är att många företag närmar sig DORA på det gamla sättet. Mycket fokus på policy, lite översättning till handling. Den typen av saker." Denna insikt markerar ofta en vändpunkt, där DORA går från en kryssrutinsövning till en katalysator för förbättrad tjänsteleverans och kundförtroende. Ett vanligt fallgropar är en traditionell, policy-tung metod med begränsad operativ översättning. Många organisationer skapar omfattande ramverk men misslyckas med att integrera dem meningsfullt i vardagliga system och arbetsflöden.

DORA-efterlevnad existerar sällan isolerat. Den löper ofta parallellt med bredare initiativ som molnmigrering, datakonsolidering och digital transformation. Men dessa insatser går inte alltid i takt. I vissa fall accelererar organisationer molnanvändning medan deras datakvalitet eller processmognad ligger efter. Resultatet blir en klyfta mellan teknisk förändring och operativ beredskap. Intervjuobjektet understryker: "På ett företag jag arbetade med var det verkligen nödvändigt att flytta till molnet. Det var ett måste. Sedan ser man att det blir ett projekt, men organisationens mognad kunde inte växa parallellt. Jag tror att digital transformation bara kommer efter det. Du måste kunna experimentera, förändra, och deras data var inte i ordning än, eller bara delvis." Idealiskt sett bör DORA-implementeringen vara en integrerad del av det bredare transformationsportföljen, snarare än att behandlas som ett parallellt eller sekundärt projekt. För ofta sker det motsatta, compliance-team arbetar isolerat från IT, säkerhet och infrastruktur-enheter.

En återkommande utmaning finns i den interna strukturen hos många organisationer. ICT-risk hanteras ofta separat från bredare företagsriskfunktioner, och operativa avdelningar kan svara på incidenter självständigt. Men DORA är i grunden tvärfunktionell: risk, IT, styrning och affärsenheter har alla roller att spela. "Så, vad vi märkte var att den verkliga kampen var silos i organisationen. Risk gjorde Risk, och IT-avdelningen hanterade IT-incidenter. Och man ser att ett ämne som DORA är ett tvärgående ämne. Det faller inte under en enskild avdelning. Så du måste samarbeta. Och då får man, självklart, mer utmanande samarbete mellan avdelningar." För att navigera detta inför institutionerna årliga, samordnade planeringscykler baserade på DORAs återkommande efterlevnadskrav. Detta inkluderar tydliga leveranser, beslutsprocesser och eskalationsvägar. Genom att justera incidenthantering, hotinformation och affärsberedskapsprocesser över hela företaget kan organisationer svara snabbare och mer effektivt när nya hot uppstår.

Även om krishanteringsprocesser ofta finns på papper, är den vanligaste bristen den tidiga igenkänningen av när en vanlig incident eskalerar till en DORA-rapporterbar kris. Fördröjningar i denna bedömning kan medföra betydande risker och hindra svarsåtgärder. Vissa organisationer åtgärdar detta genom att införa intelligenta varningar direkt i frontline-verktyg, som helpdesk-system. Till exempel, om en supportagent loggar symptom som matchar fördefinierade kriterier, kan systemet flagga en potentiell DORA-incident och varna den lämpliga koordinatorn. Denna tidiga triage-mekanism kan dramatiskt minska svarstiden och förbättra incidenthantering över avdelningarna.

Testning av operativ resiliens är ett annat viktigt krav enligt DORA, men kvaliteten och relevansen av scenarierna spelar en stor roll. Istället för att överbetona vanliga attacker som DDoS, som redan är väl motverkade i många miljöer, fokuserar organisationer mer på högpåverkande scenarier som ransomware, komprometterade failover-miljöer och kaskadmisslyckanden under säkerhetskopieringsreplikering. Lika viktigt är att ta hänsyn till den samhälleliga påverkan av ICT-störningar. Scenarier som involverar betalningssystemavbrott eller förseningar i vårdförsäkringsbehandling prioriteras nu. Dessa medför inte bara hög operativ risk utan även betydande rykte- och regulatoriska konsekvenser.

De insikter som samlats in från denna intervju ger ett värdefullt fönster in i de verkliga organisatoriska och operativa utmaningar som DORA medför och hur institutioner aktivt navigerar dem. Om du vill lära dig mer om hur man navigerar det komplexa efterlevnadslandskapet i DORA, tveka inte att kontakta oss. Våra specialister är redo att hjälpa dig framåt.