Hos Process Factory er der fuldt fokus på at få de sidste ting på plads, inden nye skærpede krav til it-sikkerhed i forsikringsbranchen træder i kraft d. 17. januar 2025, fortæller bestyrelsesleder Per Erik Sørensen.
Forberedelserne til EU-forordningen DORA (Digital Operational Resilience Act) involverer hele organisationen, som det er beskrevet her.
Det betyder samtidig, at bestyrelsen spiller en lige så aktiv rolle som resten af Process Factory-teamet.
”Vi har arbejdet struktureret med it-sikkerhed igennem lang tid. Det er helt nødvendigt som leverandør af kritiske it-løsninger til en branche med samfundsvigtige funktioner”, lyder det fra Per Erik Sørensen.
Bestyrelsen skal kende og forstå risici
It-sikkerhed er da også et fast punkt på agendaen, når bestyrelsen mødes og i den løbende dialog med ledelsen.
”Det er utopisk at forestille sig, at vi kan fjerne enhver trussel. Men vi skal kende vores risici, vurdere dem og træffe kvalificerede, strategiske valg om, hvad vi eventuelt vil acceptere, og hvordan vi bedst kan beskytte os”, siger Per Erik Sørensen.
Han lægger vægt på, at organisationen møder en bestyrelse, der er klædt på til opgaven.
”For en virksomhed af vores størrelse kan it-sikkerhed let komme til at fylde meget i forhold til kerneopgaven, som jo er at skabe værdi, vækst og udvikling. Derfor må bestyrelsen aldrig blive et åg på organisationens skuldre – medarbejderne skal ikke bruge tid på at undervise os”, understreger Per Erik Sørensen, der bl.a. trækker på sin mangeårige erfaring fra internationale ledelses- og bestyrelsesposter.
Bestyrelsen består desuden af Louise Sparf, og senest er ekspert i digital transformation og cybersikkerhed Rikke Søgaard Larsen indtrådt.
Samlet, robust tilgang til it-sikkerhed
De kommende nye krav til it-sikkerhed bliver derfor hilst velkommen – de giver mening og Process Factory er klar.
”Den største nyhed er måske i virkeligheden, at det nu er endegyldigt slut med, at bestyrelser kan sige ’det vidste vi ikke’, når noget går galt. Som bestyrelse skal vi være en integreret del af beslutningsprocessen – for uden en samlet, robust tilgang til it-sikkerhed kan konsekvenserne være vidtrækkende, både for os selv og for vores kunder”.
Og det med den samlede tilgang får særlig vægt, når det handler om… mennesker. For som det så ofte bliver sagt, er en organisation ikke mere sikker end det svageste led.
”Vi har valgt at være proaktive med træning og awareness hele vejen fra bestyrelsen og ud gennem organisationen. I samspil med compliance og en række tekniske indsatser er det den bedste safeguard, vi kan have”, siger Per Erik Sørensen.
En stærk partner for fremtiden
Frem mod DORA’s deadline 17. januar 2025 er Process Factory i tæt dialog med kunderne.
”Vi er 100% transparente i dialogen, så kunderne tydeligt kan se, hvor vi er, hvad vi mangler og hvordan vi kommer i mål. Det er en dialog, vi meget gerne tager, både med de selskaber, som er langt fremme i processen og med dem, som endnu ikke er kommet i gang. Bare tag fat i os”, opfordrer Per Erik Sørensen.
Lovgivning som påvirker forsikringsbranchen fra 2025
DORA er del af et omfattende EU-lovprogram indenfor data, teknologi og infrastruktur, der bliver udrullet i de kommende år.
DORA (Digital Operational Resilience Act) er specifikt målrettet den finansielle sektor og stiller bl.a. krav til selskaberne om:
- Styrket it-sikkerhed og robusthed
- Stammere krav til it-leverandører
- Rapportering af it-hændelser
- Intern træning og opmærksomhed
Som kritisk it-leverandør til forsikringsbranchen er Process Factory indirekte omfattet af kravene.
Sideløbende er en tværsektoriel lovgivning på vej i form af NIS2-direktivet (Net- og informationssikkerhed). NIS2 forventes at træde i kraft i Danmark 1. marts 2025.
