Meld dig ind
Menu luk
søgluk
  • Dine rettigheder

    Hvad har du krav på, og hvad er du forpligtet til? Læs overenskomsten og få svar på spørgsmål om dit arbejdsliv.

  • Arbejdsliv og udvikling

    Gode råd og vejledning til kompetenceudvikling, trivsel på arbejdspladsen eller det næste skridt i din karriere.

  • Arrangementer og kurser

    Få ny viden og inspiration på et morgenmøde, gå-hjem-møde , webinar, udviklingsforløb og meget mere.

  • Medlemsfordele

    Vi er fagforbundet for hele den finansielle sektor - otte ud af ti finansansatte er medlem. Hos os har du adgang til bl.a. sektorspecifik rådgivning om trivsel, karriere og rettigheder samt mulighed for at deltage i arrangementer og netværk.

  • Nyheder

    Alle nyheder og pressemeddelelser fra Finansforbundet.

    Nyheder
  • Politik og analyse

    Vi arbejder for at påvirke sektoren og samfundets udvikling i Danmark gennem udvalgte mærkesager, der har betydning for din hverdag.

Genveje
Dansk Da / English En
Spørgsmål om medlemskab eller brug for rådgivning?
32 96 46 00
Leder du efter medarbejdere hos Finansforbundet?
Find folk

Nye compliance-opgaver på vej: Langt fra den måde, compliance-ansatte normalt arbejder

Den nye DORA-forordning er lige om hjørnet. Det betyder nye compliance-opgaver og rapportering i komplekse Excel-ark. Langt fra den måde, compliance-ansatte normalt arbejder, lyder det.

2. okt. 2024
4 min

Den 17. januar 2025 bliver den nye DORA-forordning (’Digital Operational Resilience Act’) virkelighed.

Den nye lovgivning tvinger finansielle virksomheder til at indføre nye regler for governance og risikostyring, udvikle processer for eventuelle hændelser og løbende teste setuppet.

En af de store ændringer er den løbende rapportering til myndighederne, der skal ske gennem 15 detaljerede Excel-ark

Det fortæller Kristoffer Abell, CTO og medstifter af Formalize, en dansk virksomheder, der står bag en platform, der kan hjælpe med flere af DORA-udfordringerne.

”De varierer i sværhedsgrad, men især 11 af dem vil være en stor udfordring for mange. De er ikke alene komplekse, men også langt fra den måde, compliance-ansatte normalt arbejder med data på."

Nedtællingen er i gang

Med den nye DORA-forordning indfører EU nye krav til, hvordan finansielle institutioner håndterer dokumentation og risikostyring af it-systemer og it-kontrakter. Formålet er at styrke den finansielle sektors digitale modstandsdygtighed i EU.

Men efterhånden som deadline rykker nærmere, har finansielle institutioner og deres udbydere af informations- og kommunikationsteknologi et betydeligt arbejde forude.

Og for de compliance-ansatte vil det ifølge Kristoffer Abell være en fundamental anderledes compliance-opgave, end de er vant til.

(Artiklen fortsætter efter boksen)
Stiferne af Formalize fra venstre. Kristoffer Abell, Jakob Lilholm og Magnus Boye. Tidligere kendt som Whistleblower Software, står Formalize med 125 ansatte i dag bag en platform på et automatiseringsværktøj, der kan håndtere nogle af de mange nye DORA-krav.

"Et voldsomt rapporteringsformat"

Det er ifølge Kristoffer Abell især opgaven med at dokumentere hele leverandørkæder for hver enkel kontrakt, som volder udfordringer.

Som finansiel virksomhed skal man for hver kritisk service, man får leveret, overvåge og dokumentere alle de leverandører og underleverandører, der gør sig gældende.  

Det kan i visse tilfælde ende med mange hundrede rækker for blot en kontrakt, hvis den understøttes af en meget lang kæde af underleverandører i forskellige lag.

”Det er ikke noget, man kan håndtere manuelt. Mange bliver overraskede over, hvor meget data der kræves, og hvor voldsomt det rapporteringsformat, de skal bruge, egentlig er."

DORA er en dyr omgang

Udsigten til de nye DORA-krav fra januar har nemlig fået mange finansielle institutioner i EU i arbejdstøjet.

Ifølge en analyse fra McKinsey har DORA-programmer hos EU’s førende finansielle institutioner og it-serviceleverandører kostet mellem 5 til 15 millioner euro. Men de fulde implementeringsomkostninger estimeres til potentielt at være op til 10 gange højere.

En større finansiel institution afslører overfor McKinsey, at det vil løbe op i næsten 100 mio. euro at implementere DORA fuldt ud.

Blandt de 18 finansielle institutioner, som har medvirket i McKinseys undersøgelse, har 40 procent allokeret mere end syv fuldtidsansatte til DORA-programmer.

McKinseys undersøgelse viser også, at der fortsat er stor forskel på, hvordan de finansielle institutioner har tolket kravene fra DORA, mens ca. en tredjedel af dem er i tvivl om, hvorvidt de kan nå at leve op til de nye krav fra januar 2025.

Hvad er DORA?

DORA står for Digital Operational Resilience Act og er en EU-regulering, der harmoniserer reglerne for digital modstandsdygtighed i den finansielle sektor.

Det skal kort sagt sikre, at den europæiske finansielle sektor bliver mere digital modstandsdygtig.

Den trådte i kraft 16. januar 2023, men finder først anvendelse fra 17. januar 2025. 

DORA fokuserer på styring af tredjepartrisici og it-sikkerhed, herunder krav om omfattende dokumentation af leverandørkæder og kritiske systemer.

Manglende overholdelse kan resultere i høje bøder, ligesom med GDPR, hvor der er risiko for sanktioner på op til 2 % af virksomhedens årlige omsætning.

Blandt de virksomheder, som bliver påvirket af DORA, er bl. a. banker, kreditinstitutioner, betalingsinstitutioner, pengeinstitutter, forsikringsselskaber, investeringsselskaber, værdipapircentraler og it-leverandører, som er systemiske på EU-niveau.

I chok over opgavens omfang

Kristoffer Abell bekræfter, at han også oplever, at flere finansielle virksomheder er blevet overrasket over omfanget af den nye compliance-opgave. 

Det har været særlig udtalt efter en række DORA-øvelser, såkaldte dry-run-øvelser, som EU har tilbudt finansielle virksomheder.

"De blev kastet ud i at arbejde med de komplekse Excel-ark, der slet ikke matcher deres daglige arbejdsgange. For mange har det været en øjenåbner for, hvor meget omstrukturering, der skal til,” siger han og fortsætter:

"Flere af de virksomheder, vi har talt med, er i chok over de krav, der kommer med DORA. De virksomheder, der er begyndt at dykke ned i DORA, har opdaget, at det heller ikke bare er en opgave, der nødvendigvis kan løses med eksisterende ressourcer.”

For nu afventer de danske finansielle institutioner fortsat, at Finanstilsynet kommer på banen med en dansk vejledning til DORA-kravene, som altså skal træde i kraft fra det nye år.

”Som udgangspunkt skal første rapportering i forbindelse med DORA være tilgængelig fra 17. januar 2025. Det er meget samme opskrift som GDPR – en overtrædelse af kravene kan føre til en bøde på op til 2 % af den samlede årlige omsætning på verdensplan.”

Du kan se information leveret i forbindelse med DORA Dry Run her. Særligt 'Example of filled template B - updated 8 July 2024 [xlsb]" report b_05.02' er et godt eksempel på kompleksiteten allerede ved meget små datamængder.

Emner

Se også

Seneste nyt

Flere nyheder