DORA og Forsvarslinje-modellen – et sikkert match for den finansielle sektor

Klumme: Center for Cybersikkerhed har hævet trusselsniveauet fra cyberaktivisme mod finanssektoren fra middel til høj. Hvis den finansielle sektor skal komme på forkant med de cyberkriminelle, skal der et nyt, dynamisk sikkerhedsnet til. En kobling mellem EU’s DORA-forordning og Forsvarslinje-modellen er et godt udgangspunkt.

Artikel top billede

(Foto: JumpStory)

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Sikkerhedsmodellen, ’De tre forsvarslinjer’, der identificerer, vurderer og styrer en virksomheds potentielle risici, har længe været anerkendt som risikostyringsstrategi og er fast inventar i mange finansielle virksomheder.

Kort sagt består modellen af tre niveauer – Risk Owners, Risk Advisors og Risk Assurance – der hver især fungerer som selvstændige sikkerhedsniveauer og tilsammen giver et helhedsoverblik over virksomhedens risikounivers.

I mit arbejde med cybersikkerhed, compliance og operationel modstandskraft i den nordiske banksektor har jeg dog set flere eksempler på, at Forsvarslinje-modellen i praksis har den svaghed, at den ofte er for ensidig og statisk i en så hastig digital transformation, som vi i dag ser i den finansielle sektor.

Derfor er der fare for, at de sikkerhedsmæssige beslutninger, der bliver taget på baggrund af modellen, er forældede, inden de rigtigt er blevet implementeret. En anden ulempe er, at modellen ofte skaber siloarbejde og udelukker vigtige aktører i beslutningsarbejdet.

DORA er et vigtigt initiativ

Ind fra sidelinjen kommer nu DORA (Digital Operational Resilience Act).

Det er Europa-Kommissionens modtræk til den stigende cyberkriminalitet, der skal skabe en bedre digital operationel modstandsdygtighed over for cyberangreb og styrke den finansielle servicesektor i EU.

DORA er uden tvivl et vigtigt initiativ i kampen mod stigende cyberangreb og et bevis på, at EU-kommissionen tager cybersikkerhed seriøst.

Her er ikke bare tale om endnu en forordning, der skal føjes til listen af compliancekrav, men om et konkret værktøj, der kan hjælpe de finansielle virksomheder med at stå stærkere.

Det er dog tvivlsomt, om DORA i sig selv er bred og smidig nok til at sikre alle sprækkerne i virksomhedens cyberbeskyttelse i en hurtig omskiftelig og digital verden uden, at det kræver en radikal omstrukturering for de finansielle institutioner.

Et drømmematch

Heldigvis er der noget, som tyder på, at de to løsninger tilsammen er et drømmematch. For med DORA er der kommet fokus på en ny central spiller:

IKT-virksomheder (informations- og kommunikationsteknologi) og deres rolle for den finansielle sektors risikounivers, hvilket er helt essentielt i en sikkerhedskontekst.

Samtidig kan den flerstrengede tilgang fra Forsvarslinje-modellen supplere og forbedre DORA-integrationen.

Men inden jeg for alvor opsætter et arrangeret sikkerhedsægteskab, mener jeg, at følgende kriterier skal være opfyldt, før der er tale om et decideret drømmematch.

  1. Dashboards til nøglemålinger, der løbende konsoliderer og analyserer datafeeds fx kapitalberegninger. Det giver ledelsen mulighed for at reagere hurtigt, når de skal træffe nye sikkerhedsbeslutninger ud fra Forsvarslinje-modellen.
  1. En DORA-kompatibel proces- og overholdelsesarkitektur, der løbende styrer revisionsfunktioner, omstrukturering, og at lovgivning samt anden regulering bliver overholdt.

  2. It-risikostyringsværktøj, der giver mulighed for en mere intelligent overvågning og kontraktstyring.
  1. En modstandsdygtig zero-trust organisation, der proaktivt og løbende iværksætter risikovurderinger og identificerer trusselsaktører.
  1. En integreret platform, der giver et overblik over virksomhedens governance, risk og compliance (GRC) og strømliner regler, certificeringer og standarder på tværs af hele organisationen.
Som ethvert andet arrangeret ægteskab skal Forsvarslinje-modellen og DORA stå sin prøve i de kommende år.

Det vil kræve både tid, ressourcer og kompromisser for at lykkes i vores digitale tidsalder.

Én ting er dog sikkert: Hvis den finansielle sektor gør sit forarbejde og matcher de to løsninger, vil virksomhederne uden tvivl stå stærkere på sikkerhedsområdet.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Læses lige nu
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Navnenyt fra it-Danmark

    Netip A/S har pr. 1. april 2026 ansat Claus Berg som Account Manager ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Client Manager hos itm8. Nyt job

    Claus Berg

    Netip A/S

    Pinksky har pr. 1. maj 2026 ansat Alexander Skou Henkel, 39 år,  som Rådgivende konsulent. Han skal især beskæftige sig med optimering af forretningsprocesser i Microsoft platformen. Han kommer fra en stilling som IT forretningskonsulent hos Evobis ApS. Han har tidligere beskæftiget sig med forretningsudvikling i Microsoft platformen. Nyt job
    Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse
    Jakob Dirksen, SVP, Nordic Customer Delivery & Operations hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Infrastructure Delivery & Operations. Han skal fremover især beskæftige sig med at lede Infrastructure Delivery & Operations, der har til opgave at drive og udvikle fibernetværket på tværs af virksomheden. Forfremmelse

    Jakob Dirksen

    GlobalConnect