DORA i praksis
Kurset giver et struktureret overblik over DORA-forordningens krav til finansielle virksomheder og andre omfattede enheder. Deltagerne lærer at afgrænse anvendelsesområdet, identificere relevante roller og forstå sammenhængen til øvrig EU-regulering og tilsynspraksis.
Undervisningen gennemgår de centrale elementer i et IKT-risikostyringsrammeværk, herunder politikker, roller og ansvar, kontrolmiljø, måling af risici samt opfølgning og rapportering til ledelse og bestyrelse.
Risikostyring og leverandører
Der arbejdes med metode til kortlægning af IKT-aktiver, dataflows og kritikalitet, så risikobilledet kan prioriteres. Deltagerne får praktiske værktøjer til risikovurdering, kontrolvalg, dokumentation og løbende monitorering.
Kursuset sætter fokus på krav til IKT-tredjepartsstyring: due diligence, kontraktuelle minimumskrav, serviceniveauer, sikkerhedskrav, audit- og adgangsrettigheder, koncentrationsrisiko, data- og exitstrategier samt løbende performance- og complianceovervågning.
Outsourcing til cloud leverandører behandles særskilt med guidance om ansvar, datalokation, underleverandører og rapporteringsveje. Deltagerne får skabelonnære greb til at opdatere kontrakter og styrke relationen til kritiske leverandører.
Hændelser, test og governance
Kurset gennemgår krav til hændelseshåndtering og rapportering, herunder klassifikation, kommunikationslinjer, tidsfrister, dokumentation og læringspunkter. Deltagerne lærer at designe robuste processer, der kan stå distancen ved tilsyn og audits.
Test af digital robusthed behandles fra grundlæggende kontroller til avancerede trusselsledede test. Deltagerne får overblik over planlægning, omfang, uafhængighed, evidens og opfølgning, så testresultater kan omsættes til konkrete forbedringer.
På governanceområdet behandles ledelsesansvar, rapporteringspakker, nøgletal og kontrolbeviser samt integration i eksisterende styringsmodeller. Der vises, hvordan DORA kan forankres i forretningskontinuitet, beredskabsplaner og kriseledelse.
Gennem cases belyses typiske faldgruber og løsninger i implementeringen, fra gapanalyse og roadmap til dokumentationskrav og tilsynsdialog. Efter kurset kan deltagerne prioritere indsatser, opdatere politikker og kontrakter samt dokumentere en effektiv og risikobaseret efterlevelse.
