DORA og Forsvarslinje-modellen – et sikkert match for den finansielle sektor

Klumme: Center for Cybersikkerhed har hævet trusselsniveauet fra cyberaktivisme mod finanssektoren fra middel til høj. Hvis den finansielle sektor skal komme på forkant med de cyberkriminelle, skal der et nyt, dynamisk sikkerhedsnet til. En kobling mellem EU’s DORA-forordning og Forsvarslinje-modellen er et godt udgangspunkt.

Artikel top billede

(Foto: JumpStory)

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Sikkerhedsmodellen, ’De tre forsvarslinjer’, der identificerer, vurderer og styrer en virksomheds potentielle risici, har længe været anerkendt som risikostyringsstrategi og er fast inventar i mange finansielle virksomheder.

Kort sagt består modellen af tre niveauer – Risk Owners, Risk Advisors og Risk Assurance – der hver især fungerer som selvstændige sikkerhedsniveauer og tilsammen giver et helhedsoverblik over virksomhedens risikounivers.

I mit arbejde med cybersikkerhed, compliance og operationel modstandskraft i den nordiske banksektor har jeg dog set flere eksempler på, at Forsvarslinje-modellen i praksis har den svaghed, at den ofte er for ensidig og statisk i en så hastig digital transformation, som vi i dag ser i den finansielle sektor.

Derfor er der fare for, at de sikkerhedsmæssige beslutninger, der bliver taget på baggrund af modellen, er forældede, inden de rigtigt er blevet implementeret. En anden ulempe er, at modellen ofte skaber siloarbejde og udelukker vigtige aktører i beslutningsarbejdet.

DORA er et vigtigt initiativ

Ind fra sidelinjen kommer nu DORA (Digital Operational Resilience Act).

Det er Europa-Kommissionens modtræk til den stigende cyberkriminalitet, der skal skabe en bedre digital operationel modstandsdygtighed over for cyberangreb og styrke den finansielle servicesektor i EU.

DORA er uden tvivl et vigtigt initiativ i kampen mod stigende cyberangreb og et bevis på, at EU-kommissionen tager cybersikkerhed seriøst.

Her er ikke bare tale om endnu en forordning, der skal føjes til listen af compliancekrav, men om et konkret værktøj, der kan hjælpe de finansielle virksomheder med at stå stærkere.

Det er dog tvivlsomt, om DORA i sig selv er bred og smidig nok til at sikre alle sprækkerne i virksomhedens cyberbeskyttelse i en hurtig omskiftelig og digital verden uden, at det kræver en radikal omstrukturering for de finansielle institutioner.

Et drømmematch

Heldigvis er der noget, som tyder på, at de to løsninger tilsammen er et drømmematch. For med DORA er der kommet fokus på en ny central spiller:

IKT-virksomheder (informations- og kommunikationsteknologi) og deres rolle for den finansielle sektors risikounivers, hvilket er helt essentielt i en sikkerhedskontekst.

Samtidig kan den flerstrengede tilgang fra Forsvarslinje-modellen supplere og forbedre DORA-integrationen.

Men inden jeg for alvor opsætter et arrangeret sikkerhedsægteskab, mener jeg, at følgende kriterier skal være opfyldt, før der er tale om et decideret drømmematch.

  1. Dashboards til nøglemålinger, der løbende konsoliderer og analyserer datafeeds fx kapitalberegninger. Det giver ledelsen mulighed for at reagere hurtigt, når de skal træffe nye sikkerhedsbeslutninger ud fra Forsvarslinje-modellen.
  1. En DORA-kompatibel proces- og overholdelsesarkitektur, der løbende styrer revisionsfunktioner, omstrukturering, og at lovgivning samt anden regulering bliver overholdt.

  2. It-risikostyringsværktøj, der giver mulighed for en mere intelligent overvågning og kontraktstyring.
  1. En modstandsdygtig zero-trust organisation, der proaktivt og løbende iværksætter risikovurderinger og identificerer trusselsaktører.
  1. En integreret platform, der giver et overblik over virksomhedens governance, risk og compliance (GRC) og strømliner regler, certificeringer og standarder på tværs af hele organisationen.
Som ethvert andet arrangeret ægteskab skal Forsvarslinje-modellen og DORA stå sin prøve i de kommende år.

Det vil kræve både tid, ressourcer og kompromisser for at lykkes i vores digitale tidsalder.

Én ting er dog sikkert: Hvis den finansielle sektor gør sit forarbejde og matcher de to løsninger, vil virksomhederne uden tvivl stå stærkere på sikkerhedsområdet.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Læses lige nu

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Netværksspecialist med indsigt i C2 systemer til opbygningen af Forsvarets anti-drone-program

    Københavnsområdet

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Tekniske specialister til ITSM og CMDB til opbygning af Forsvarets nye Digital Backbone

    Nordjylland

    Capgemini Danmark A/S

    AI Data Architect

    Københavnsområdet

    Event: Cyber Security Festival 2026

    Sikkerhed | København

    Mød Danmarks skrappeste it-sikkerhedseksperter og bliv klar til at planlægge og eksekvere en operationel og effektiv cybersikkerhedsstrategi, når vi åbner dørene for +1.700 it-professionelle. Du kan glæde dig til oplæg fra mere end 70 talere og møde mere end 50 leverandører over to dage.

    18 & 19 november 2026 | Gratis deltagelse

    Navnenyt fra it-Danmark

    Pinksky ApS har pr. 1. maj 2026 ansat Jeppe Spanggaard, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med Digitalisering med Microsoft-platformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Nyt job

    Jeppe Spanggaard

    Pinksky ApS

    Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse
    Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

    Daniel Eriksson

    Sharp Consumer Electronics

    Netip A/S har pr. 1. juni 2026 ansat Kristina Svingel Jeppesen som bogholder ved netIP's kontor i Thisted. Hun kommer fra en stilling som Kontorassistent hos DFI Geisler. Nyt job