Article taken from finans.dk
Den nye EU-forordning DORA kombineret med en spændt geopolitisk situation skærper kravene til risikostyring i sparekasser, banker, kreditselskaber, investeringsselskaber, forsikringsselskaber og pensionsselskaber.
I januar 2025 steg de formelle krav til it-sikkerhed voldsomt i sparekasser, banker, kreditselskaber, investeringsselskaber, forsikringsselskaber og pensionsselskaber. DORA (Digital Operational Resilience Act) hedder det nye sæt af krav fra EU. De er langt mere detaljerede, og som virksomhed skal man nu forholde sig til flere hundrede siders tekst. Banker havde tidligere 10-12 sider i Bilag 5-kravene, mens forsikring og pension skulle leve op til 4-5 sider i Bilag 4-kravene.
Selvfølgelig skal vi samfundsmæssigt minimere bureaukratiske byrder mest muligt, men den værdiskabende og nødvendige del af reguleringen skal vi leve med og efterleve så smart som muligt. Øget fokus på cybersikkerhed er yderst relevant.
Men virksomheder skal ikke kaste sig ud i umulige stjernekrigsprojekter og ende med en papirtiger, der står og brøler ovre i skammekrogen. Gennem klog digitalisering kan man bryde selv meget komplekse opgaver ned til simple ti-minutter-om-måneden-opgaver på tværs af den operationelle organisation. Sagt meget forsimplet skal risikostyring være lidt mere som at køre løn.
Utopisk
Det kan sikkert lyde utopisk for mange virksomheder, der i disse år skal forholde sig til stadig flere indgribende krav inden for kunstig intelligens (AI), data, finansiel regulering og klima (NIS2, CSRD, AI Act med flere). Men det er faktisk realistisk, at virksomheden håndterer – ikke bare DORA - men cybersikkerhed i det hele taget på en samlet platform. Ledelsesindsatsen, fremgangsmåden og it-understøttelsen i forhold til cybersikkerhed kan genbruges på den øvrige risikostyring, og et nyt krav - eksempelvis DORA – bliver således blot en ny anvendelse af en allerede eksisterende praksis.
Utilstrækkeligt niveau
Det store bombardement af cybertrusler parret med den spændte geopolitiske situation er bagtæppet, som anskueliggør relevansen af risikostyring på it-området. Vi ser, at større virksomheder betaler millionregninger for cyberangreb, og at mindre virksomheder kan blive tvunget til at dreje nøglen om. Alligevel er situationen i danske virksomheder meget uens og utilstrækkelig. Som rådgiver i dette felt kan jeg konstatere, at vi stadig kan blive meget bedre. Selv i finanssektoren og energisektoren, som historisk har ligget forrest, er der udfordringer.
Potentiale fordufter
Hovedproblemet opstår, når man tager én regulering ad gangen i håbet om at nå frem til at sætte et flueben, og når man ser indsatsen som en barriere og en omkostning i stedet for som en investering. Med et silofokus fordufter potentialet i at tilgå risikostyringen samlet og skabe synergi. Best practice er nemlig at tilgå feltet sammenhængende. Fællestrækket i regulering og risikostyring er jo, at virksomheden skal skabe sammenhæng fra risikobilledet og de eksterne krav over virksomhedens politikker og videre til de forretningsgange, som skal overvåges og kontrolleres i hverdagen. Det handler om at gå fra en reaktiv krisetilgang til en proaktiv forankring af risikostyringen i forretningen.
Ledelsens ansvar
Ledelsen skal nedbryde virksomhedens risikostyring i en lang række overskuelige aktiviteter på tværs af organisationen. Målet er, at risikostyring lever som en værdi i organisationen – både de store og de små. Den lille bank, sparekasse eller pensionsselskab lever i det samme risikolandskab som de store. En farbar vej for dem er at trække på cloud-leverandøren eller datacentralen, som via stordriftsfordele kan investere for at leve op til eksempelvis DORA. Men ansvaret ligger hos ledelsen og i bestyrelsen, og cybertruslen er alvorlig nok til, at der virkelig skal oprustes her.
This acquisition adds exceptional talent to our team with founder, CEO Tomas Hellum, an industry-recognised leader in GRC in the Nordics for the past 20 years. Known for his deep expertise and strategic vision, Tomas has been instrumental in crafting compliance strategies for leading financial institutions, lately in the realm of DORA (Digital Operational Resilience Act) compliance. His insights will be pivotal in enhancing client offerings to address evolving regulatory demands with precision and depth.
With the combined capabilities of Decision Focus and LinkGRC, we are looking forward to revealing to our customers, new modules and value-add in the GRC platform.
Jon Tollerup, CEO, Decision Focus - “We’re bringing LinkGRC into the Decision Focus family because it simply is a perfect match for us, and for our clients. LinkGRC’s deep-rooted practical expertise, Tomas Hellum and team’s insight in the GRC space, is exactly what we need to take our offerings further, faster. LinkGRC complements our platform with critical tools like AML modules, AI-powered Horizon Scanning, and advanced 1st line support, and this acquisition lets us offer a stronger, more complete solution to our clients.
Our goal is to keep delivering practical, effective compliance solutions that meet the rising demands of today’s regulated industries. This acquisition is about building on what works, drawing on strong expertise, and being ready for the next set of regulatory challenges our clients face.”
Tomas Thobias Hellum, Founder, CEO LinkGRC “Joining forces with Decision Focus feels like a natural step. We’ve spent years building LinkGRC.com to address the specific needs of GRC and compliance in financial services. This partnership means we’re combining our deep risk and regulatory expertise with a platform that has proven success across global markets, allowing us to bring new, robust solutions like AI-driven Horizon Scanning and proven 1st line support capabilities to clients.
At LinkGRC, our focus has always been on practical, value-driven compliance tools. This next chapter lets us continue that mission on a larger scale, backed by a team that shares our commitment to real, measurable impact.”
Discover more about Decision Focus here.
About Decision Focus:
The company develops software for Governance, Risk and Compliance. Since 2004, Decision Focus has been helping the largest and most prestigious enterprises globally.