Meld dig ind
Menu luk
søgluk
  • Dine rettigheder

    Hvad har du krav på, og hvad er du forpligtet til? Læs overenskomsten og få svar på spørgsmål om dit arbejdsliv.

  • Arbejdsliv og udvikling

    Gode råd og vejledning til kompetenceudvikling, trivsel på arbejdspladsen eller det næste skridt i din karriere.

  • Arrangementer og kurser

    Få ny viden og inspiration på et morgenmøde, gå-hjem-møde , webinar, udviklingsforløb og meget mere.

  • Medlemsfordele

    Vi er fagforbundet for hele den finansielle sektor - otte ud af ti finansansatte er medlem. Hos os har du adgang til bl.a. sektorspecifik rådgivning om trivsel, karriere og rettigheder samt mulighed for at deltage i arrangementer og netværk.

  • Nyheder

    Alle nyheder og pressemeddelelser fra Finansforbundet.

    Nyheder
  • Viden i perspektiv

    Vi arbejder for at påvirke sektoren og samfundets udvikling i Danmark gennem udvalgte mærkesager, der har betydning for din hverdag.

Genveje
Dansk Da / English En
Spørgsmål om medlemskab eller brug for rådgivning?
32 96 46 00
Leder du efter medarbejdere hos Finansforbundet?
Find folk

Frej fandt kreativ løsning på DORA: ”Man kan godt få hjertestop og løbe ud på lokummet”

Særligt et område af den nye DORA-forordning er enormt kompliceret og svært at få styr på for selv garvede it- og compliance-specialister. I ren desperation fandt Frej Jensen fra Nordfyns Bank en kreativ løsning på problemet.

11. dec. 2024
7 min

Selvom ansatte i finanssektoren er rutinerede, når det kommer til krævende lovgivning og regler, er der med EU's nye DORA-forordningen skruet godt op for kompleksiteten.

For selv garvede specialister i den finansielle sektor volder især et af delelementerne - det såkaldte Register of Information - store udfordringer.

"Det er meget kompliceret også for it- og compliance-ansatte med mange års erfaring. Man kan godt få hjertestop og løbe ud på lokummet og aldrig komme ud derfra igen. Det er svært at håndtere," konstaterer Frej Jensen fra Nordfyns Bank.

Frej Jensen er autodidakt it- og compliance-specialist med en fortid fra bl.a. Miljøministeriet og den danske EU-repræsentation i Bruxelles, hvor han i mange år har arbejdet i krydsfeltet mellem it-sikkerhed, -risici og kompleks lovgivning. 

Hvor andre større banker har hele afdelinger, der forsøger at få styr på DORA-kravene, er det Frej Jensen, der hos Nordfyns Bank skal forsøge at få greb om det.

De store linjer af DORA er ifølge Frej Jensen ’business as usual’ - mange af kravene er ikke raketvidenskab, hvis man har arbejdet med compliance før, forklarer han.

Men den del af forordningen, som går under navnet Register of Information, er på nogle områder ekstrem og yderst omfattende i compliance-sammenhæng - også selvom man  "ved hvordan kaffen smager i Bruxelles", som han siger det.

'Jeg kan godt engelsk, men...'

Register of Information indfører et centralt krav om, at finansielle virksomheder dokumenterer og vedligeholder overblik over deres afhængigheder til leverandører af it- og kommunikationsteknologi (IKT).  

Det kan måske lyde nogenlunde enkelt.

Men det betyder, at man som finansiel virksomhed for hver kritisk it-service, man får leveret, skal overvåge og dokumentere alle de leverandører og underleverandører, der gør sig gældende. 

Spørgsmålet er dog, hvor mange led i leverandørkæden, man skal dokumentere. Ender det med elselskabet?, spørger Frej Jensen retorisk. Han nævner også, at der er forvirring om, hvordan man skal bruge den medfølgende model, herunder hvor hvilket data fx skal puttes hen?

EU’s krav til registeret (et kompliceret, teknisk og midlertidigt engelsk dokument på 133 sider) hjælper ikke meget, og Finanstilsynet har ind til videre været meget tavse, siger Frej Jensen. 

Så det er langt fra enkelt.

 "Jeg har boet i udlandet i 18 år, og jeg kan godt engelsk. Men du skal have en special grad af engelskkundskaber og en særlig hjerne for at forstå kompleksiteten. Det kan være en showstopper for mange," forklarer han.

(Artiklen fortsætter efter boksen)
Frej Jensen med ansvar for it-risiko, it-sikkerhed og DORA hos Nordfyns Bank. Foto: Rene Haudgaard.

Gik frustreret på efterårsferie

Frej Jensen har nu arbejdet på at gøre Nordfyns Bank klar til DORA i omkring et år.

Mange af de nye krav er indført, mens registeret har været den knast, som har spøgt i kulissen, siden han begyndte arbejdet. 

Han har søgt input fra flere fronter uden held. 

Det har været et af de tilbagevendende emner i Bankdata-fællesskabet, hvor Frej Jensen bl.a. koordinerer et netværk mellem lokalbankerne om informationssikkerhed. 

Han har været forbi diverse dyre konference, hvor blandt andre Finanstilsynet har forsøgt at hjælpe med en afklaring, uden at være blevet meget klogere.

Så da han gik på efterårsferie i år, vidste han faktisk stadig ikke, hvordan han skulle løse opgaven med registeret, fortæller han ærligt. 

Hvad er DORA?

DORA står for Digital Operational Resilience Act og er en EU-regulering, der harmoniserer reglerne for digital modstandsdygtighed i den finansielle sektor. 

Det skal kort sagt sikre, at den europæiske finansielle sektor bliver mere digital modstandsdygtig.

Den trådte i kraft 16. januar 2023, men finder først anvendelse fra 17. januar 2025. 

DORA fokuserer på styring af tredjepartrisici og it-sikkerhed, herunder krav om omfattende dokumentation af leverandørkæder og kritiske systemer. DORA erstatter blandt andet både Ledelsesbekendtgørelsernes bilag 4 og 5.

Manglende overholdelse kan resultere i høje bøder, ligesom med GDPR, hvor der er risiko for sanktioner på op til 2 % af virksomhedens årlige omsætning.

En analyse fra McKinsey har undersøgt DORA-programmer hos 18 førende finansielle institutioner i EU. 

  • En tredjedel af dem er i tvivl om, hvorvidt de kan nå at leve op til de nye krav fra januar 2025. Og der er stor forskel på, hvordan kravene tolkes.
  • Det har i snit kostet mellem 5 til 15 millioner euro, men de fulde implementeringsomkostninger estimeres til potentielt at være op til 10 gange højere.
  • En større finansiel institution forventer, at det kan løbe op i næsten 100 mio. euro at implementere DORA fuldt ud.
  • 40 procent har allokeret mere end syv fuldtidsansatte til DORA-programmer.

Frejs løsning

Efter ferien, og med endnu kortere tid til deadline, tog han derfor en beslutning om at tackle udfordringen fra en ny og anderledes vinkel.

"Enten kunne jeg betale en dyr konsulent til at tykke sig igennem det uden garanti for, at det ville blive meget bedre. Eller jeg kunne bede en AI om at lave det grimme arbejde, og se om det kunne noget."

"I ren desperation valgte jeg det sidste."

Som et sideprojekt gik Frej Jensen i gang med om aftenen og i weekenderne at træne Claude AI til at blive ekspert i det svært tilgængelige materiale med et mål om ultimativt at kunne levere en forståelig praktisk vejledning for en bank.

"Det blev til i min fritid ud fra en frustration over, at det er så hammersvært og umuligt at håndtere, og at de mennesker, som tilsyneladende har forstået det, taler i koder."

Gennem et halvt hundrede prompts er det lykkedes, siger han i dag.

"På min opfordring har AI’en skrevet en forståelig metode til, hvordan man kan implementere registeret. Når man læser de ca. 60 s. får man en basisforståelse for registeret, hvad der skal til for at komme i mål og en plan for, hvordan man griber det an." 

"Jeg har lagt vejledningen på LinkedIn. Det har kun min interesse, at alle kommer i mål med DORA – det skal ikke være forbeholdt en lille skare eller kræve, at man betaler en dyr konsulentregning," siger han.

Du kan se opslaget herunder og vejledningen. Frej Jensen gør opmærksom på, at det er væsentligt at udvise rettidig omhu - også i forhold til materiale fra en AI. 

Svær opgave, men ikke umulig

Flere hundrede mennesker har ifølge Frej Jensen indtil videre set hans opslag om vejledningen, og han har fået flere positive kommenterer fra ansatte i andre banker, der har brugt det.

Frej Jensen konstaterer selvsikkert, at han baseret på sin erfaring og forståelse af DORA med hjælp fra Claude har fundet en måde, der fungerer.

Han er gået fra ikke at ane, hvad han snakkede om, til at kunne stille nogle konkrete spørgsmål og krav til Nordfyn Banks leverandører og datacentral, Bankdata.

"Ekstreme situationer kræver nogle gange kreative tilgange. Jeg er ikke nødvendigvis fortaler for AI, men man må bruge de værktøjer, man har sin værktøjskasse."

"Der er noget sødt i, at it- og compliance-medarbejderne fra provinsen kaster sig over den store EU-lovgivning og finder en vej igennem. Men det vigtige budskab er at afmystificere DORA og registeret. Det er en omfattende og svær opgave, den er også kompliceret, men den er ikke umulig."

Risiko for kæmpe bøder

Frej Jensen håber nu, at AI-vejledningen kan hjælpe andre, især i de mindre banker, hvor der er få it- og compliance-ansatte, som ofte sidder meget alene med opgaverne.

Et andet vigtigt budskab er ifølge ham at prioritere fællesskaberne, især når man som mindre organisation står overfor komplekse problemer og udfordringer. For ham har det været en kæmpe hjælp at kunne søge inspiration, råd og sparring hos især de andre mindre banker og Bankdata.

"Man skal ikke stå alene med det her. Fællesskaber mellem bankerne og dialogen med ens datacentral er enorm værdifuld. Vi er mange, der er i samme båd, og derfor giver det god mening at dele viden og erfaringer ud fra et ønske om, at vi alle lykkes."

Selvom bankerne i mange måneder nu har arbejdet med at blive klar til DORA og registeret, har EU-kommissionen først for nylig godkendt det endelige dokument for registeropgaven – et dokument som dog ifølge Frej Jensen stadig efterlader mange spørgsmålstegn, er svært at forstå og løbende opdateres.

Uagtet er de finansielle virksomheder 17. januar underlagt den nye lovgivning, det berygtede og komplekse register og potentielle bødestraffe på 2 % af omsætningen, skulle man træde forkert.

Frej Jensen er i dag fortrøstningsfuld, men han forholder sig også til, at bankerne meget snart stævner ud i ukendt farvand.  

"Finanstilsynet har været meget tavse, og vi har ikke fået en dansk fortolkning endnu. Vores tilgang er, at vi efterlever loven efter bedste evne og med de værktøjer, vi har."

"Gjorde man slet ikke noget, var man nok værre stillet. Men vi kommer først rigtig til at finde ud af, hvordan lovgivningen skal fortolkes, når vi ser det i praksis."

23
jan
Online
Cybertrusler i finanssektoren - Forstå angreb og forsvar
Få indsigt i det aktuelle trusselsbillede og lær, hvordan kriminelle tænker og angriber finansielle virksomheder. ”Kend din fjende" er et tidløst råd. Kom ...

Se også

Seneste nyt

Flere nyheder