Som Daniel Melin skrev här så håller jag med om att det är märkligt tyst om EU-förordningen “digital operativ motståndskraft för finanssektorn” (DORA). Finansiella organisationer av samhällsviktig karaktär som inte uppfyller kraven när 2025 börjar riskerar att få dryga böter och de ansvariga för organisationerna riskerar näringsförbud.
När jag först hörde om förordningens namn så tänkte jag på en helt annan DORA, nämligen forskningsrapporten “DevOps Research and Assessment” som bl a för sex år sedan resulterade i boken Accelerate. I mjukvaruarkitektursammanhang så är Accelerate-DORA raka motsatsen till EU-DORA; Accelerate-DORA har det pratats väldigt mycket om i flera år. Inte minst är det trevligt att den med vetenskapliga metoder kommer fram till att organisationer som är framgångsrika med sin mjukvaruleverans är dubbelt så troliga att vara övergripande framgångsrika (t ex lönsamma). För oss i branschen låter det här självklart, men det är trevligt att ha det “bevisat” och refererbart. Samtidigt så är det potentiellt förlösande och glädjande sprängstoff utanför branschen.
Ett av kraven i EU-DORA är att ha en exit-strategi för att flytta sitt system. Jag tycker det är ett bra exempel på krav för resiliens (R i EU-DORA står just för resiliens) och jag använder det kravet som exempel för resten av texten. När jag läste om kravet på exit-strategi tänkte jag att det nog kommer att krävas väldigt mycket jobb för några företag att uppnå möjligheten att på max ett dygn kunna flytta sina viktigaste system så att de fungerar som vanligt igen. Sedan har det lite löst nämnts att tidsgränsen gissningsvis är ett halvår, inte ett dygn. Förordningen specificerar inte explicit tidsgräns, men intentionen kommer förstås att klarna framöver. Mer om det strax.
Låt oss återgå till Accelerate-DORA. Forskarna undersökte åren före boken vilken arkitektur som krävdes för att vara bland företagen som ansågs ha bra mjukvaruleverans-förmåga och de kom fram till följande (citat från boken Accelerate):
We set out to discover the impact of architectural decisions and constraints on delivery performance, and what makes an effective architecture. We found that high performance is possible with all kinds of systems, provided that systems – and the teams that build and maintain them – are loosely coupled.
Jag vet, inte chockerande för er som ägnat era liv åt mjukvaruarkitektur. Jag har använt det citatet många gånger för att motivera till nyttjandet av Domain-Driven Design (DDD), en handbok i lös koppling (balanserat med högt sammanhang, high cohesion). Men behovet av exit-strategi är kanske en ännu mer självklar anledning till att eftersträva lös koppling. Det jag tänker på är att även om det är superviktigt att undvika hård koppling mellan team, så är det ännu viktigare att inte vara så låst till en viss driftsmiljö att det anses ogörbart att flytta systemet till ny miljö.
Det är lite roligt att det finns en korrelation mellan de båda DORA. Om organisationen har toppenbra ordning på sin mjukvaruleverans-förmåga, inklusive sin arkitektur, är det förmodligen “bara jobb” i rimlig omfattning som krävs för att uppfylla de tekniska kraven i EU-DORA också.
Jag gissar att några som påverkas av regelverket tycker att det är överdrivet och orimligt. Som medborgare tycker jag det låter vettigt och närmast som hygien. Jag skulle inte uppskatta att en bank i EU meddelar sina kunder att de inte kommer åt sina konton det närmaste halvåret pga något väääldigt osannolikt (Black Swan?) problem med bankens system. Förmodligen skulle det räcka med ett dygns stillestånd för att skapa väldigt mycket turbulens i samhället. Samhället riskerar att destabiliseras långt före ett halvår om folk inte kan komma åt sina pengar på banken. Därav min gissning att smärtgränsen för exit-strategin i praktiken går vid något dygn eller så.
Jag inser att många organisationer är gravt bekymrade över hur de ska uppfylla EU-DORA-förordningen. Men jag hoppas de kan se det som en möjlighet istället! Detta skulle kunna leda till något bra för dem, bortom att “bara” få ordning på hygienen i form av att uppfylla EU-DORA. Jag föreslår att de, istället för att ilsket kasta pengar på problemet, kastar mjukvaruexcellens på det! På andra sidan hägrar då även den där lilla aspekten av ökad framgång (t ex lönsamhet).
Så låt oss tillsammans få igång diskussionen ordentligt! Hur ska kraven uppfyllas? Vi vill alla över till den andra sidan så fort som möjligt! :)
This article was originally published on LinkedIn. Join the discussion and read more here.