Den blinda fläcken i DORA-efterlevnad som ingen pratar om

Ni har läst på om DORA. Ni har gått igenom era kritiska leverantörer. Ni har kontrollerat att Microsoft har ett tillägg för DORA till Microsoft Customer Agreement (MCA) som er nuvarande CSP-partner har tillhandahållit. På pappret ser molnleveransen compliant ut. De flesta finansiella aktörer som köper Microsoft via en partner i CSP-ledet missar en sak. Inte för att de är slarviga, utan för att den ligger i en blind fläck som inte syns förrän man vet exakt var man ska titta. Och det är där den verkliga risken sitter.

”DORA bryr sig inte om hur långt ner i leverantörskedjan en risk uppstår. Ansvaret är ditt hela vägen.”

Microsofts åtaganden under DORA är reella. De är välskrivna. Och de reglerar en enda relation: den mellan Microsoft och dig som kund. Problemet är att i en affär via en CSP-partner köper du oftast inte direkt av Microsoft. Microsofts tillägg sträcker sig nämligen inte ut till mellanhanden. Det säger ingenting om vad din partner får göra, måste göra, eller är ansvarig för. Och det är partnern, inte Microsoft, som står närmast dig i kedjan, hanterar dina licenser, kan stänga av tjänster och styr din exit den dag du vill byta. DORA bryr sig inte om hur långt ner i leverantörskedjan en risk uppstår. Ansvaret är ditt hela vägen.

Frågorna du aldrig har ställt din partner

Det här är inte teoretiskt. Standardvillkoren hos en typisk partner är skrivna för en vanlig kommersiell affär. Inte för en reglerad bank, ett försäkringsbolag eller ett betalinstitut under DORA. Ställ dig själv de här frågorna:

• Avstängning. Hur många dagars varsel krävs innan din partner får stänga av en tjänst? Och kan de göra det av rent kommersiella skäl, utan ansvar gentemot dig?
• Exit. Hur lång tid har du på dig att migrera den dag avtalet upphör? Räcker den perioden för att uppfylla DORAs krav på en ordnad exitstrategi för kritiska funktioner?
• Uppsägning. Har du rätt att säga upp avtalet omedelbart om en tillsynsmyndighet kräver det, eller om partnern brister i regelefterlevnad?
• Granskning. Har du, dina revisorer och Finansinspektionen faktisk åtkomst för att granska mellanhanden, inte bara Microsoft?
• Underleverantörer. Vad händer när din partner i sin tur anlitar någon annan? Finns det krav på notifiering och ansvar genom hela kedjan?
• Incidenter. Får du det underlag du behöver från partnern för att klara DORAs incidentrapportering inom utsatt tid?

Om svaret på någon av dessa är "jag vet faktiskt inte", då har du hittat den blinda fläcken.

Varför ingen har flaggat det här för dig?

Det enkla svaret: det ligger inte i mellanhandens intresse att lyfta det. De flesta partners konkurrerar på pris och leveranskapacitet. Avtalet är en standardmall som sällan öppnas efter signering. Att börja prata om avstängningsrätter, exitperioder och tillsynsmyndigheters granskningsrätt gör affären mer komplicerad, och därmed inte enklare att stänga. Så luckan förblir osynlig. Inte för att den är ofarlig, utan för att tystnad är bekvämare. Tills den dagen en granskning kommer, en tjänst stängs av, eller en migrering ska göras under tidspress, och du upptäcker att ditt skydd slutade exakt där Microsofts ansvar tog slut.

”Om svaret på någon av frågorna är ’jag vet faktiskt inte’, då har du hittat den blinda fläcken.”

Vad det här betyder för dig

Efterlevnad av DORA i molnet är inte en kryssruta. Det är en kedja, och en kedja är aldrig starkare än sin svagaste länk. För många finansiella aktörer är den svagaste länken inte Microsoft. Det är det tysta utrymmet mellan Microsoft och dem själva. Den goda nyheten är att luckan går att stänga avtalsmässigt. Det kräver bara en partner som har förstått problemet, tagit det på allvar, och faktiskt byggt en juridisk brygga över gapet, i stället för att hoppas att ingen frågar. Vi på Exobe har gjort just det. Hur, det berättar vi gärna i ett samtal.

Vill du veta om din nuvarande affär har den här blinda fläcken? Hör av dig så går vi igenom det tillsammans, utan förpliktelser.

Här kan du läsa om hur vi hjälpte Max Matthiessen att minska kostnaderna och säkerställa efterlevnad för DORA.