Seks måneder efter EU’s Digital Operational Resilience Act (DORA) trådte i kraft, viser en ny undersøgelse fra Censuswide, bestilt af Veeam Software, at 96% af finansielle organisationer i EMEA-regionen stadig vurderer, at deres nuværende niveau af dataresiliens ikke er tilstrækkeligt. Undersøgelsen, der indsamlede svar fra senior IT-beslutningstagere i finansielle virksomheder i Storbritannien, Frankrig, Tyskland og Holland, sætter fokus på de vedvarende udfordringer, sektoren står over for i arbejdet med at leve op til DORA – et EU-regelsæt, der blev indført i januar 2025 for at styrke finanssektorens forsvar mod cybertrusler og forstyrrelser i IT-infrastrukturen.

Selvom DORA er blevet forankret som en strategisk prioritet på tværs af den finansielle sektor, arbejder mange organisationer fortsat med at opnå fuld compliance. 94% af de adspurgte organisationer vurderer nu, at DORA har højere prioritet end måneden før deadline, og 40% kalder det en “topprioritet inden for digital resiliens”. Halvdelen af de adspurgte har integreret DORA-kravene i deres bredere resiliensprogrammer, mens 39 % fastholder det som et centralt fokus.

De utilsigtede konsekvenser af DORA

Selvom 94% af organisationerne angiver, at de har klarhed over de nødvendige tiltag, oplever mange uforudsete udfordringer:

• 41% rapporterer øget stress og pres på IT- og sikkerhedsafdelinger.

• 37% oplever højere omkostninger fra IT-leverandører.

• 22% mener, at mængden af digital regulering er blevet en barriere for innovation og konkurrence.

• 20% har endnu ikke fået det nødvendige budget til at opfylde DORA-kravene.

- Det er positivt at se, at de fleste organisationer har taget DORA til sig og føler sig trygge ved kravene, siger Edwin Weijdema, Field CTO EMEA hos Veeam.

- At opnå compliance er et vigtigt første skridt, men i lyset af det komplekse trusselsbillede i dag, er der stadig arbejde at gøre. Vores seneste undersøgelse viser, at mange finansielle virksomheder fortsat oplever et gab i deres samlede resiliens og har svært ved at sikre det nødvendige budget – også selvom DORA har fået høj strategisk værdi. Vejen mod operationel resiliens er lang, og dataresiliens er fortsat kritisk for organisationers langsigtede succes.

DORA: Et igangværende arbejde

Trods den forøgede prioritering er mange organisationer endnu ikke i mål med de centrale krav i DORA:

• 24% har ikke etableret tests for gendannelse og kontinuitet.

• 24% har ikke implementeret hændelsesrapportering.

• 24% har ikke udpeget en DORA-ansvarlig.

• 23% har ikke gennemført test af resiliensen af den digitale drift.

• 21% har ikke sikret integriteten af backup og sikker gendannelse af data.

Den mest udfordrende del af DORA? At få styr på risici fra tredjeparter. Hele 34% peger på det som det sværeste at implementere – selvom kun 20% endnu ikke har gjort det. Der kan være mange årsager til dette – lige fra manglende indsigt i, hvordan tredjeparter opererer, til den rene størrelse og kompleksitet af netværk med eksterne leverandører.

Desuden mener 22% af organisationerne, at DORA kunne være bedre designet med henblik på compliance, med opfordringer til forenkling, mere klarhed og bedre vejledning omkring tredjepartsrisici.

Støtter rejsen mod resiliens

Som svar på det stigende behov for strukturerede strategier for resiliens, lancerede Veeam og McKinsey tidligere i år branchens første Data Resilience Maturity Model (DRMM). Modellen er baseret på omfattende research og indsigt fra over 500 ledere inden for IT, sikkerhed og drift og er valideret via konkrete kundeprojekter. DRMM hjælper organisationer med at vurdere deres dataresiliens ud fra en tværfunktionel tilgang, der integrerer IT, sikkerhed og compliance i én samlet strategi. Modellen giver en klar køreplan for styrket resiliens og compliance med fx DORA.