Af cand.jur. Kirsten Majgaard Basse, complianceansvarlig, Gensam
I januar 2025 træder DORA-forordningen i kraft for finansielle virksomheder. Det er EUs forordning om øgede krav til de finansielle virksomheders modstandskraft, når det gælder it- og cybersikkerhed, og som for vores kunders vedkommende primært sker gennem Gensam Data som kritisk it-leverandører.
Det kommer nok ikke som en overraskelse for nogen – hvad der måske kan være en overraskelse, er, hvor komplekst DORA-forordningen i virkeligheden er. Og hvor svært det kan være i den virkelige verden at blive compliant på it-området. Compliance på det niveau, som DORA-forordningen stiller krav om, er normalt ikke indenfor forsikringsselskabernes primære fagområde.
Det gælder især, hvis man er et mindre forsikringsselskab, hvor compliancekravene er lagt i hænderne på ledelse og medarbejdere, der i en travl hverdag også har mange andre opgaver at varetage. I mindre forsikringsselskaber sidder medarbejderne ofte med flere og meget forskellige kasketter på. Der sidder eksempelvis ikke lige en hel complianceafdeling, man kan sparre med. Her kan man godt blive overvældet over kompleksiteten og omfanget af opgaven med at blive DORA-compliant.
Men mit budskab til jer er: For det første – tag det alvorligt, men tag det roligt. For det andet – I er ikke alene.
Mere om det længere nede.
En ordentlig mundfuld
DORA er en ordentlig mundfuld og bliver ikke mindre efter ikrafttrædelsen for de enkelte forsikringsselskaber. Det er slut med at betragte it- og cybersikkerhed som en opgave, man alene uddelegerer til sin IT-leverandør, som så sørger for resten. DORA fastlægger derfor også, at det er en opgave, som stiller krav om dyb involvering fra den allerøverste ledelse i de enkelte forsikringsselskaber. Cybertruslen er reel og ikke længere en ”hvis”-ting” men en ”når-ting”. Det er derfor afgørende, at bestyrelserne og direktionerne i de enkelte forsikringsselskaber har styr på, hvad der er digitalt kritisk eller vigtigt for det enkelte forsikringsselskab, og at der er strategier, politikker og testede planer på plads for beskyttelse af kritisk eller vigtige digitale aktiver og aktiviteter. DORA dækker også over sådan noget som sikring af bygninger, medarbejders adgange og brugeradgange.
Med reglerne følger også et skærpet ledelsesansvar, som kan ende med bøder for overtrædelser og i særlige tilfælde ansvar for det enkelte bestyrelsesmedlem.
Reglerne er ikke ment som en complianceøvelse på et skrivebord og kan derfor også med fordel bruges som et løft og udvikling af en digital transformation, der udover modstandskraften sikrer beskyttelse af forsikringsselskabets ”license to operate.”
Det er nok noget, der kan give klamme håndflader rundt om. Og det er noget, der i sidste ende kan drive mindre og mellemstore forsikringsselskaber i favnen på større selskaber og altså være med til at drive opkøb og konsolidering i branchen, fordi kravene er så komplekse.
Men det er der ingen grund til, hvis vi står sammen. Her kommer to vigtige ting at huske på i forhold til DORA:
Regel nr. 1: Godt nok er fint nok
Vi så det med GDPR-forordningen tilbage i 2018, hvor regelsættet dengang virkede fuldkommen overvældende og med udsigt til voldsomme sanktioner.
Men realiteten har vist, at reglerne også er skrevet lidt elfenbenstårns-agtigt, og at lovgiverne til tider ikke rigtig har føling med hverdagen. Det viste sig også lidt med GDPR-panikken – der var ikke rigtig panik i virkeligheden, men heldigvis mest sund fornuft. Reglerne giver heldigvis også mulighed for at inddrage proportionalitetsmæssige hensyn som en vigtig ting at huske på. Godt nok er fint nok. De mindre og mellemstore skal ikke levere på samme niveau som de store institutter. At stile efter et 12-tal i compliance er nærmest umuligt, mindre kan nemlig også sagtens gøre det. Først og fremmest skal I leve op til minimumsreglerne. Og her kommer regel nr. 2 ind i billedet:
Regel nr. 2: I er ikke alene
Som complianceansvarlig hos Gensam er det også mit job at hjælpe vores kunder til selv at blive DORA-compliant. Vi hjælper kunderne på alle de områder, der er omfattet af DORA.
Gensam er it-leverandør til vores kunder på en lang række områder – ikke bare på it, men også som konsulentbistand i forskellige sammenhænge bl.a. til compliance som beskrevet herover. Aktuelt er vi meget langt med at sikre DORA- compliance for fire af vores kunder.
Hvordan vi gør det, afhænger meget af, hvad den enkelte kunde har af interne ressourcer og af ønsker til os. Vi fungerer som ekstern konsulent i alle delprocesser i DORA-arbejdet – i det omfang, vores kunder har behovet. Så træder vi til med vores viden og kapacitet og sørger for, at kunderne altid lander et godt sted. Vi ved alt om, hvor krævende det kan være at implementere ny lovgivning, og vi kender de frustrationer, der kan følge med. Vores vigtigste rolle er at agere bagstopper og sørge for, at vores kunder bliver compliant i god ro og orden, mens de også har tid til at passe det vigtigste – forretningen.
I mine næste blogindlæg kommer jeg nærmere ind på vores egen compliance i forhold til NIS2 – vores kunder skal nemlig kunne være sikre på, at vi har styr på vores egen compliance, både fordi vi er leverandør og fordi vi arbejder med kritisk infrastruktur. Vi vil gerne være best-in-class og har da også en fremragende track record – mere om det næste gang.
Kirsten Majgaard Basse er uddannet advokat og nu ansvarlig for jura og compliance hos Gensam. Hun er om nogen vant til arbejdet i de mindre virksomheder, hvor ressourcerne og kompetencerne oftest er begrænsede og ved, hvordan der løbende sker skærpelse af især regulatoriske krav på både forsikringssiden og it- og cyberområdet. Hun mener, det kalder på samarbejde og fælles erfa-udveksling, for at kunne forblive effektive og compliant uden at omkostningerne stikker helt af, men også for i sidste ende at kunne bevare selvstændigheden fremover.