Finans Norge: Hvordan sikre kontroll med tredjepartsleverandører

Finans Norge gir medlemmene konkrete råd til hvordan de skal klare å etterleve DORA og bygge en kultur for digital motstandskraft. En arbeidsgruppe foreslår fire praktiske tiltak for å sikre en god implementering.

Finansnæringen står foran betydelige endringer når Digital Operational Resilience Act (DORA) trådte i kraft i EU den 17. januar 2025. Arbeidet er allerede i full gang blant norske finansinstitusjoner for å sikre etterlevelse. Dette gjelder ikke minst kravene til styring og kontroll med tredjepartsleverandører.

Finans Norge har en egen arbeidsgruppe for å bistå medlemmene med etterlevelse og å øke den digitale motstandskraften. Her samarbeider eksperter fra bank, forsikring og andre finansinstitusjoner om å identifisere utfordringer og muligheter. 

I et webinar deler fagdirektør for cybersikkerhet Pål Christian Waag i Finans Norge og (innleid) prosjektleder Lars Erik Fjørtoft fra PwC konkrete råd for leverandørstyring og kontroll med tredjepartsleverandører, basert på innsikt fra arbeidsgruppen. 

– Arbeidsgruppen, og Finans Norge, kan dele erfaringer om bruk av ulike verktøy for å lykkes med implementeringen. Vi kan også jobbe med harmonisering av praksis og krav til leverandørene, sier Waag.

I denne artikkelen trekker vi frem de viktigste konklusjonene knyttet til leverandørstyring.

Kompleksiteten i leverandørkjedene

Leverandørkjedene i finanssektoren er komplekse, og risikoen knyttet til tredjepartsleverandører har vært et årvisst tema. Lars Erik Fjørtoft, partner i PwC og prosjektleder i arbeidsgruppen, understreker at utfordringene er blitt mer omfattende over tid.

– Noen leverandører har blitt så store at maktforholdet nesten er snudd. Med skytjenester ser vi at enkelte leverandører har enorm innflytelse. Det å styre risikoen knyttet til disse aktørene og deres underleverandørkjeder er helt essensielt, sier han.

DORA setter tydelige krav til at finansinstitusjoner må identifisere kritiske leverandører og sikre at disse oppfyller strenge krav til sikkerhet og robusthet. Fjørtoft beskriver hvordan dette arbeidet kan struktureres:

– Du må integrere leverandørrisiko i den totale risikostyringen. Det innebærer å identifisere hvilke leverandører som er kritiske, sette tydelige krav og følge opp gjennom kontinuerlig overvåkning og revisjoner.

Fra compliance til digital motstandskraft

En av de store fordelene med DORA er at kravene til leverandørstyring gir finansinstitusjoner en mulighet til å styrke sin digitale robusthet.

– Dette handler ikke bare om compliance. Det handler om å etablere digital motstandskraft. Sikkerhet og robusthet er ikke der vi konkurrerer – her skal vi samarbeide for å stå sterkere sammen, sier Waag.

Arbeidsgruppa i Finans Norge har sett på flere potensielle områder for samarbeid, inkludert felles standarder for sikkerhet og harmonisering av krav til leverandører. Dette kan redusere byrden for leverandørene og samtidig sikre konsistens på tvers av bransjen.

– Mange leverandører uttrykker bekymring for at de må forholde seg til mange ulike krav fra forskjellige kunder. Harmonisering kan redusere denne administrasjonsbyrden og bidra til å styrke sikkerheten samlet sett, sier Fjørtoft.

Praktiske anbefalinger for implementering

For finansinstitusjoner som skal etterleve DORA, handler mye om å bygge videre på eksisterende prosesser og rutiner.

– Det er viktig å implementere DORA-kravene i det systemet og den praksisen man allerede har. Dette krever god intern samordning og samarbeid med leverandører, sier Waag.

Arbeidsgruppen har identifisert flere praktiske tiltak som kan bidra til en effektiv implementering:

1. Kritikalitetsvurdering: For å håndtere leverandørrisiko på en god måte, må virksomheten kartlegge hvilke leverandører som er avgjørende for driften. Dette innebærer å forstå hvordan leverandørene påvirker de viktigste prosessene og tjenestene, og hvilke risikoer som kan oppstå hvis noe går galt. For å få oversikt kan virksomheten dele leverandørene inn i kategorier, for eksempel «ikke-kritiske»  eller «essensielle». En slik inndeling gjør det enklere å prioritere hvem som skal følges opp tettere og hvilke risikoer som trenger mest oppmerksomhet.

2. Standardisering: Når det kommer til leverandørstyring, kan standardisering spare mye tid og arbeid. Virksomheter kan lage faste maler for kontrakter og sikkerhetskrav, slik at alle leverandører behandles likt. Det er også nyttig å ha sjekklister som hjelper med å vurdere om leverandørene oppfyller kravene i DORA. I tillegg kan faste rutiner for rapportering gjøre det enklere å få oversikt over hva leverandørene gjør og hvordan de følger opp sikkerhetskravene. Hvis flere virksomheter bruker de samme standardene, kan både leverandører og finansinstitusjoner bruke mindre tid på å tilpasse seg ulike krav.

3. Exit-strategi: Å avslutte et samarbeid med en leverandør kan være komplisert, spesielt hvis leverandøren er viktig for virksomheten. Derfor er det smart å ha en plan for dette allerede før samarbeidet starter. En god exit-strategi handler om å sikre at tjenestene kan fortsette uten avbrudd, selv om man må bytte leverandør. Dette krever at systemene er designet med tanke på at man en dag kan måtte bytte leverandør – det kalles «exit by design». Ved å være forberedt unngår man kaos og sikrer en smidig overgang.

4. Digitale verktøy: Teknologi spiller en viktig rolle i å oppfylle kravene i DORA. Mange virksomheter ser på GRC-systemer (governance, risk, compliance) som en måte å holde oversikt over leverandørrisiko på. Slike systemer kan hjelpe med å samle all dokumentasjon, overvåke leverandørene og sikre at man følger opp risikoene. Det er også viktig at slike verktøy passer godt sammen med de systemene virksomheten allerede bruker, som for eksempel kontraktsstyring. Investering i gode teknologiske løsninger gjør det ikke bare lettere å følge kravene, men gir også bedre kontroll og effektivitet i hverdagen.

Veien videre

Arbeidet med DORA fortsetter, og Finans Norge vil i 2025 lansere en veileder for hvordan finansinstitusjoner kan styrke sin digitale robusthet. Veilederen vil bygge på innsikter fra arbeidsgruppa og intervjuer med aktører i bransjen.

– Dette er en dugnad for sikkerhet. Når vi deler kunnskap og erfaringer, står vi sterkere sammen. DORA er ikke bare en utfordring, men også en mulighet til å bygge en sikrere og mer robust finanssektor, sier Waag.

Fjørtoft påpeker at en viktig del av DORA-arbeidet er å skape en kultur hvor leverandørstyring ikke bare handler om regelverk, men om en helhetlig tilnærming til risikostyring.

– Mange har vært vant til å fokusere på kontrakter og compliance, men DORA utfordrer oss til å tenke bredere. Dette inkluderer å bygge gode relasjoner med leverandører og sikre at de forstår kravene og viktigheten av robusthet, sier han.

Waag legger til at dette arbeidet også krever tett dialog med regulatoriske myndigheter, som vil overvåke implementeringen av DORA i Norge.

– Vi må skape et åpent og transparent samarbeid mellom finansinstitusjoner, leverandører og myndigheter. Det er bare slik vi kan lykkes, sier Waag.

De to sier at arbeidet med DORA byr på utfordringer, men gir også finanssektoren en unik anledning til å bli mer robust og fremtidsrettet. Med klare strategier og godt samarbeid kan norske finansinstitusjoner sikre både compliance og en sterkere posisjon i det digitale landskapet.