Inledning
Digital Operational Resilience Act (DORA) innebär skärpta krav på finansiella aktörers hantering av IKT-risker, incidentrapportering, tredjepartsrisk och kontinuitet. En central del är hur organisationer styr och följer upp sina IKT-leverantörer.
För många verksamheter väcker detta en oro: Kommer DORA innebära fler möten, fler dokument, fler kontroller och mer administration i leverantörssamverkan?
Det behöver det inte göra. Tvärtom kan ett redan etablerat samverkansforum med leverantörer bli ett kraftfullt verktyg för att uppfylla DORA – om det struktureras rätt. Nyckeln är att integrera DORA-kraven i befintliga forum och processer istället för att skapa parallella spår.
1. Börja i rätt ände: Vad är syftet med forumet?
Många leverantörsforum har vuxit fram organiskt med fokus på operativ uppföljning, roadmap, incidenter och relation. DORA förändrar inte behovet av dessa forum – men det tydliggör att de också behöver stödja strukturerad riskuppföljning, tydlig incidenttransparens, kontinuitets- och återställningsförmåga samt dokumenterbar tredjepartsstyrning.
Det första steget är därför inte att lägga till nya möten, utan att justera syfte och agenda i befintliga forum så att de även täcker DORA-dimensionen.
2. Integrera DORA i befintlig mötesstruktur
I stället för att införa ett separat DORA-möte bör man bygga in kraven i befintliga nivåer.
Operativt forum (månatligt): Incidenter, trendanalys, åtgärdsplaner och förändringar i leverantörens miljö.
Taktiskt forum (kvartalsvis): Riskbedömning, kontinuitetsförmåga, testresultat och regelefterlevnad.
Strategiskt forum (årligen): Kritikalitetsbedömning, exit-strategi, långsiktig resiliens och större förändringar.
3. Skapa en DORA-overlay istället för nya processer
Ett effektivt angreppssätt är att skapa en enkel DORA-matris som kopplas till befintliga forum. Det skapar spårbarhet och struktur utan att skapa nya parallella styrmodeller.
4. Undvik dokumentationsfällan
En vanlig reaktion på DORA är att börja producera nya mallar och rapporter. Det leder ofta till dubbelarbete och compliance-trötthet. Identifiera istället vilken dokumentation som redan finns och justera den så att DORA-perspektivet inkluderas.
5. Förtydliga ansvar – men utan fler roller
DORA kräver tydlig ansvarsfördelning, men det betyder inte att nya roller måste skapas. Det handlar snarare om att förtydliga mandat och ägarskap inom befintlig organisation.
6. Integrera kontinuitet i dialogen
Kontinuitet och återställningsförmåga bör vara en levande del av forumet, inte en årlig administrativ övning. Följ upp testresultat och lär av faktiska incidenter.
7. Arbeta med proportionalitet
Alla leverantörer kräver inte samma styrning. Anpassa forumstruktur efter kritikalitet, affärspåverkan och koncentrationsrisk.
8. Gör forumet till ett verktyg för ömsesidig resiliens
När forumet upplevs som värdeskapande istället för kontrollerande stärks relationen och den digitala motståndskraften ökar.
Sammanfattning
DORA kräver inte fler möten – det kräver bättre struktur i de möten som redan finns.
Tre principer för att undvika merarbete:
1. Integrera – skapa inte parallella spår.
2. Strukturera – producera inte mer dokument.
3. Proportionera – styr där det behövs.
Organisationer som lyckas använder befintliga forum, förtydligar ansvar, säkerställer spårbarhet och arbetar riskbaserat. Resultatet blir både regelefterlevnad och starkare digital motståndskraft.