Digital operativ motståndskraft har gått från att vara en teknisk fråga till att bli en affärskritisk ledningsfråga. I takt med att finansiella organisationer blir allt mer beroende av externa IT-leverantörer har också riskbilden förändrats. Driftstörningar, cyberincidenter och leverantörsberoenden kan snabbt få konsekvenser för hela verksamheten.
Med DORA – Digital Operational Resilience Act – sätter EU ett tydligt regelverk för hur dessa risker ska hanteras. En central del av DORA handlar om leverantörsstyrning: hur organisationer väljer, styr, följer upp och vid behov lämnar sina leverantörer av ICT-tjänster.
DORA och tredjepartsrisker
DORA utgår från insikten att många av de största operativa riskerna i dag ligger utanför den egna organisationen. Regelverket kräver att finansiella aktörer identifierar kritiska leverantörer, förstår deras påverkan på verksamheten och säkerställer kontroll över risker och beroenden.
Från leverantörshantering till leverantörsstyrning
Leverantörsstyrning enligt DORA innebär ett strukturerat arbetssätt som omfattar hela leverantörens livscykel – från upphandling till exit. Fokus ligger på risk, transparens och kontinuerlig uppföljning.
Klassificering av leverantörer
Alla leverantörer är inte lika kritiska. En grundläggande del av leverantörsstyrningen är därför att klassificera leverantörer utifrån affärskritikalitet, ersättningsbarhet och informationskänslighet.
Avtalsstyrning som kontrollmekanism
Avtal är ett centralt styrmedel i DORA. De ska reglera incidentrapportering, revisionsrätt, underleverantörer, kontinuitet och exit-mekanismer.
Löpande uppföljning och övervakning
DORA kräver kontinuerlig uppföljning av kritiska leverantörer. Organisationen ska kunna visa hur leverantörer övervakas, hur incidenter hanteras och hur risker följs upp över tid.
Exit-strategier och beroendehantering
Leverantörsstyrning innebär även att organisationen måste kunna lämna en leverantör på ett kontrollerat sätt utan att äventyra verksamheten.
Organisation och ansvar
Effektiv leverantörsstyrning kräver tydliga roller och ansvar mellan inköp, IT, risk, compliance och verksamheten.
