Utviklerne og arkitektene må rydde opp, selv om loven gjør styret ansvarlig.
Leserinnlegg publisert på kode24.
Utviklerne og arkitektene må rydde opp, selv om loven gjør styret og daglig leder personlig ansvarlig for digital motstandsdyktighet, ifølge Marielle Mortensdatter i CoWork.
Forskjellen nå er at noen faktisk er juridisk ansvarlig for det, og det er ikke deg.
Da DORA-loven trådte i kraft i Norge 1. juli 2025, drøyt et halvår etter at EU-forordningen begynte å gjelde, la artikkel 5 ansvaret for hele IKT-risikostyringen på ledelsesorganet.
Styret og daglig leder skal definere, godkjenne, overvåke og stå til ansvar – personlig. I norsk rett følger det direkte av aksjelovens bestemmelser om styrets plikter, og styremedlemmer kan holdes sivilrettslig ansvarlige hvis de forsømmer det.
Det er ikke lenger nok å delegere til IT-sjefen og vente på grønt lys i neste styremøte.
Men ansvar på papiret og kunnskap i praksis er to forskjellige ting. Når styret ikke forstår tredjepartsrisiko og konsentrasjonsrisiko, forsvinner ikke risikoen, den siver nedover.
Det blir utviklerne og arkitektene som arver konsekvensene den dagen noe ryker, fordi det er de som faktisk vet hvordan systemene henger sammen. DORA er derfor ikke bare et regelverk for ledelsen. Det er en anledning til å løfte samtalen oppover, til dem som faktisk har ansvaret.
For det loven krever, er at styremedlemmer har reell forståelse av IKT-risiko, at de evner å stille kritiske spørsmål om tredjepartsleverandører, hendelseshåndtering og operasjonell testing, og at de kan dokumentere at de faktisk har gjort det.
DORA treffer en nerve i næringslivet, nemlig kompetansegapet vi har i ledelse av digital risiko.
Jeg leste Kompetansebehovsutvalgets temarapport i år med stor interesse. Det som vekket interessen min, var advarselen om «uheldig kognitiv avlastning», at vi blir dårligere til å tenke kritisk når vi ukritisk overlater vurderinger til teknologi og KI. Det er nøyaktig det som skjer når ledere behandler IKT-risiko som en sjekkliste IT-avdelingen kan ordne opp i senere.
Det utvalget kaller «muliggjørende kompetanser» er det som gjør rapporten relevant for DORA. Ikke teknisk ekspertise, men kritisk tenkning, innovasjonskompetanse og digital forestillingsevne, evnen til å forstå risiko i en bredere sammenheng, se teknologiens begrensninger og ta beslutninger som balanserer sikkerhet, forretningsverdi og regelverk. Det er disse kompetansene DORA krever av ledere og styremedlemmer.
Å delegere nedover, følge opp med rapporter og huke av i bokser uten reell forståelse holder ikke. Vi må bygge ekte motstandsdyktighet.
Kompetansebehovsutvalget er tydelig på at Norge må styrke nasjonal kontroll over kritisk digital infrastruktur. Mye av den mest sentrale teknologien er eid og kontrollert av store utenlandske teknologiselskaper, og vi kan ikke regne med at norske interesser blir ivaretatt av dem som utvikler teknologien.
DORA adresserer dette direkte gjennom strenge krav til tredjepartsrisiko. Finansinstitusjoner skal kartlegge avhengigheter, stille krav til leverandører og kunne dokumentere at de faktisk kan avslutte kritiske leverandørforhold uten at det truer driften. Styret bør derfor spørre: har vi en reell exit-strategi for våre mest kritiske leverandører, særlig sky- og IKT-tjenester?
Men det forutsetter at daglig leder forstår hva de er avhengige av. At de kan skille tredjepartsleverandører som representerer konsentrasjonsrisiko fra dem som ikke gjør det. Og at de har mot til å ta beslutninger som kanskje koster mer på kort sikt, men som styrker motstandsdyktigheten på lang sikt. Jeg har selv hatt ansvar for dataflyt i regulert finans, der avhengigheten til sky- og identitetsleverandører ikke er en fotnote i risikobildet, men selve fundamentet. Det er ikke en oppgave for compliance-avdelingen. Det er strategisk ledelse.
Den norske modellen har historisk vært et fortrinn i digital omstilling. Høy organisasjonsgrad og et godt sikkerhetsnett gjør det lettere å ta i bruk ny teknologi og håndtere omstilling, og partssamarbeidet har gitt oppslutning og dempet teknologiskepsis.
Men modellen har en blindsone. Nettopp fordi vi stoler på at systemet håndterer omstilling, kan det oppstå en falsk trygghet i ledergruppene, en antakelse om at «dette har vi klart før». DORA er et signal om at det europeiske rammeverket forventer mer av ledere enn mange norske ledere leverer i dag. Ikke fordi norske ledere er dårlige, men fordi rammebetingelsene har endret seg fundamentalt. Trusselbildet er mer komplekst, avhengighetene dypere, og konsekvensene av svikt potensielt systemiske.
DORA har trådt i kraft. Spørsmålet er ikke om, men hvor forberedt vi er. Som DORA Lead Manager, og etter å ha ledet regulatorisk drevet transformasjon i finanssektoren, er det særlig tre ting jeg mener norske ledere og styremedlemmer bør ta innover seg.
For det første krever DORA en kulturendring. Det hjelper ikke å implementere prosedyrer hvis ledelsen ikke forstår hva prosedyrene skal beskytte mot. Da jeg ledet arbeidet for en lovpålagt transformasjon i finanssektoren, lærte jeg at det som ryker først når en lovendring treffer, ikke er systemet, det er antakelsen om hvem som egentlig eier risikoen.
For det andre må styremedlemmer investere i egen kompetanse på IKT-risiko. Ikke for å bli teknologer, men for å kunne stille de riktige spørsmålene og utøve reelt tilsyn.
For det tredje er kritisk tenkning ingen «myk» kompetanse her. Det er en operasjonell nødvendighet, evnen til å utfordre leverandørenes risikovurderinger, stille spørsmål ved organisasjonens egne antakelser om motstandsdyktighet, og ta beslutninger under usikkerhet. Dette er ikke bare fine ord. Det er reell juss, og det kan ramme deg personlig. Finanstilsynet kan ilegge overtredelsesgebyr ved manglende etterlevelse. Men den største risikoen er kanskje ikke boten, det er omdømmetapet, tapet av tillit fra kunder og investorer, og at du som leder ikke kan peke på IT-avdelingen og si at du ikke visste.
Kompetansebehovsutvalget minner oss om at fremtidige kompetansebehov handler mindre om å spå, og mer om å tørre å stille de kritiske spørsmålene. Det samme gjelder DORA. Reguleringen er ikke en tvangstrøye fra EU. Den er en mulighet til å bygge genuint motstandsdyktige organisasjoner i en tid der digital sårbarhet er en av de største truslene mot finansiell stabilitet.
Men det forutsetter at vi slutter å se DORA som teknologiavdelingens problem, og begynner å se det som det det er: et lederansvar som krever kompetanse, kulturendring og personlig ansvarliggjøring.
Spørsmålet er ikke om du som leder kan DORA. Spørsmålet er om du kan lede under DORA.
CoWork AS (917 535 450)
hei@cowork.no
+47 934 01 522