17. januar 2025 er en vigtig skæringsdato for forsikringsbranchen og dermed også for Process Factory. Det er nemlig dagen, hvor DORA træder i kraft.
DORA (Digital Operational Resilience Act) er ny EU-lovgivning, som skal styrke den digitale robusthed i finanssektoren – herunder i forsikringsbranchen.
Som leverandør til skadeforsikringsbranchen giver det Process Factory en opgave. For DORA kræver, at selskaberne kun benytter sig af eksterne kritiske it-leverandører, der kan leve op til den lange række af sikkerhedskrav.
Der er ganske enkelt tale om License to operate både for selskaberne og for it-leverandørerne.
”Vi er meget bevidste om, at vi er del af den kritiske infrastruktur hos vores kunder. Derfor har hele organisationen over en længere periode arbejdet struktureret med at skabe en omfattende strategi for risikostyring, der dækker både teknologiske og forretningsmæssige aspekter”, fortæller Søren Pauli, Technology Director.
Transparent dialog med vores kunder
På papiret er Process Factory ikke direkte omfattet af DORA, men i praksis ser det anderledes.
Allerede først på året blev der lavet en Gap-analyse for at afdække, hvor virksomheden står i forhold til de nye lovkrav. Analysen førte til en projektplan – og projektplanen bruges nu aktivt i dialogen med kunderne.
”Vi er gået til opgaven med et konstruktivt mindset og griber DORA som en mulighed for at blive endnu mere robuste. Og vi er 100 % transparente i dialogen med vores kunder, så de tydeligt kan se, hvor vi er, hvad vi mangler og hvordan vi kommer i mål. Vi vil hellere være realistiske end at love noget, vi ikke kan holde. Det er en fundamental værdi hos os – også når det gælder risikostyring og it-sikkerhed”, understreger Søren Pauli.
Klar til deadline
I de kommende uger og måneder sættes der gang i flere indsatser. Søren Pauli nævner bl.a.:
- Test af beredskabsplan for hele virksomheden
- Uddannelse i Security by Design for udviklerne i samarbejde med NES.PONE
”Vi gør det her grundigt – og vi bliver klar til deadline i januar 2025. Kunderne skal aldrig være i tvivl om sikkerheden, når de bruger vores integrationsplatform Connector Plus eller på anden måde bringer os ind i deres kritiske infrastruktur”, siger Søren Pauli.
En organisation er kun så stærk som sit svageste led
Det mantra er styrende for Nina Bjerregaard – Legal og Compliance ansvarlig i Process Factory.
”DORA stiller krav til, at relevante medarbejdere har en grundlæggende forståelse for og træning i sikkerhed og robusthed. Det er altså ikke nok at henvise til politikker og retningslinjer – vi skal også kunne dokumentere vores handlinger. Fx at den enkelte medarbejder er i stand til at tage ansvar for at rapportere potentielle risici eller uregelmæssigheder, så vi hurtigt kan reagere”, fortæller Nina Bjerregaard.
Hele organisationen er derfor involveret i klargøringen til DORA gennem awareness, træning og uddannelse.
”It-sikkerhed masseres ind i alle relevante sammenhænge; lige fra Secure Coding til faste punkter på bestyrelsesmøder og daglige rutiner på kontoret. Alt sammen med til at sikre en høj cyberhygiejne,” siger Nina Bjerregaard.
DORA – Digital Operational Resilience Act
En sektorspecifik EU-forordning målrettet finanssektoren.
Formålet med DORA er at gøre finanssektoren mere resilient over for digitale angreb og it-nedbrud. Det betyder bl.a. at der vil være større krav til at kunne dokumentere, at de nødvendige foranstaltninger er på plads.
DORA træder i kraft 17. januar 2025.
Læs mere om vores it-sikkerhed her.
