Þann 12. febrúar 2026 var haldin vinnustofa um reglugerð (ESB) 2022/2554, DORA – stafrænan viðnámsþrótt fjármálamarkaðar. Vinnustofan var samstarfsverkefni tækninefnda TN-FMÞ og TN-UPV. Formenn nefndanna, Halldór Vagn Hreinsson og Ólafur Róbert Rafnsson, settu vinnustofuna og buðu þátttakendur velkomna
Þátttaka var nokkru minni en vonir stóðu til, en alls mættu 20 fulltrúar frá 10 skipulagsheildum. Áberandi var að fulltrúar minni fjármálafyrirtækja voru fáir, þótt ljóst sé að einmitt þau hefðu verulegt gagn af umræðunni. Upptaka af vinnustofunni er aðgengileg og gefur kost á að kynna sér efnið, þó hún hefjist ekki frá fyrstu mínútu.
Tjörvi Einarsson, sérfræðingur hjá Seðlabankanum, fór yfir gildissvið og helstu innleiðingaráfanga DORA. Hann dró fram þær greinar reglugerðarinnar sem mynda burðarstoðir hennar og skýrði hvernig þær móta kröfur til fjármálafyrirtækja um stjórnarhætti, áhættustýringu, prófanir og viðbragðsgetu.
Sérstök áhersla var lögð á meðalhófsregluna. Tjörvi undirstrikaði að hlíting við DORA skuli taka mið af stærð, umfangi og áhættusniði viðkomandi aðila. Sú nálgun er sérstaklega mikilvæg fyrir minni skipulagsheildir, sem þurfa að byggja upp viðnámsþrótt án þess að stofna til óhóflegs kostnaðar eða flækjustigs. Glærur Tjörva eru aðgengilegar á vef Fagstaðlaráðs í upplýsingatækni undir flipanum "Tækninefndir og verkefni".
Marinó G. Njálsson, ráðgjafi á sviði upplýsingaöryggis, persónuverndar og áhættustjórnunar, fjallaði um DORA frá sjónarhóli ráðgjafans sem styður fyrirtæki við innleiðingu. Hann lagði áherslu á að flest fyrirtæki byggi á ISO/IEC 27001 sem grunnkerfi upplýsingaöryggis, sem síðan sé styrkt með stöðlum á borð við ISO/IEC 27002, ISO 22301, ISO 27035 og ISO 27036 auk viðeigandi evrópskra staðla.
Hann benti þó á að DORA gangi lengra en þessir staðlar einir og sér, einkum hvað varðar stjórnarhætti, ábyrgð æðstu stjórnenda og formfestu í eftirliti með þriðju aðilum. ISO-staðlarnir séu traustur grunnur, en ekki fullnægjandi lausn án viðbóta og markvissrar aðlögunar. Marinó fór jafnframt yfir hvaða ákvæði staðlanna væri eðlilegt að nýta til að styðja við hlítingu og draga úr tvíverknaði.
Umræður fóru fram samhliða erindum og voru gagnlegar. Meðal þess sem kom fram var árétting á mikilvægi þýðingar ISO 22301 um samfelldni starfsemi (Business Continuity). Tillaga um þýðingu staðalsins hefur áður komið fram innan TN-UPV og verður kannað á ný hvort unnt sé að skilgreina og fjármagna slíkt verkefni. Ljóst er að aðgengileg íslensk útgáfa gæti stutt við markvissari innleiðingu og samræmda framkvæmd.
Guðmundur Valsson, ritari nefndanna, kynnti möguleikann á að vinna svokallaða vinnustofusamþykkt sem gæti miðlað sameiginlegum skilaboðum til markaðarins og stuðlað að hagræðingu við hlítingu DORA. Ekki var tekin ákvörðun um frekari vinnu í þá veru, en ákveðið að fundargerð vinnustofunnar yrði formleg afurð hennar.
Vinnustofan sýndi að þörf er á áframhaldandi samtali, skýrum leiðbeiningum og hagnýtri samhæfingu. DORA er ekki einungis regluverk – hún er prófsteinn á stjórnarhætti, viðbúnað og fagmennsku fjármálamarkaðarins. Með markvissri nýtingu staðla og samvinnu innan greinarinnar má breyta áskorun í styrk.
