What is the Digital Operational Resilience Act (DORA)?

DORA (EU Regulation 2022/2554) is EU legislation requiring financial entities to build end-to-end digital operational resilience covering ICT risk management, incident reporting, resilience testing, third-party risk oversight, and information sharing.

Who needs to comply with DORA?

DORA applies to virtually all regulated financial entities in the EU including credit institutions, insurance and reinsurance undertakings, investment firms, payment institutions, electronic money institutions, crypto-asset service providers, and critical ICT third-party service providers.

How long does implementation take?

DORA GRC is designed for rapid deployment. Most organizations can be operational within 1-2 weeks, with ongoing configuration as their compliance programme matures. No consultants or implementation partners required.

How is our data protected?

DORA GRC is hosted on Cloudflare's global edge network with data encrypted in transit (TLS 1.3) and at rest. The platform includes role-based access control, complete audit trails, and session expiry.

Can I export data for auditors?

Yes. DORA GRC includes a full data export function that produces a timestamped JSON snapshot of all registers with user attribution for every action.

Does it support frameworks beyond DORA?

The platform is currently purpose-built for DORA compliance. Multi-framework mapping (DORA, ISO 27001, NIS2) is on the roadmap. The risk management and control library capabilities align with ISO 27005 and ISO 31000 methodology.

EU Regulation 2022/2554 · Enforcement active

DORA-etterlevelse,
faktisk håndterbart

Å håndtere DORA på tvers av fire pilarer bør ikke kreve tre regneark og en compliance-konsulent. Vi bygde en plattform som dekker alt på ett sted: styring, risiko, testing og tredjepartstilsyn.

Start gratis prøveperiode → Se hvordan det fungerer

78%Compliance score

42Controls active

7Open risks

2Active incidents

42 controls implemented

app.doragrc.com / dashboard

78%

Compliance Score

OVERALL · Q1 2026

↑ +3% this week

P1 · Governance85%

P2 · Risk Mgmt72%

P3 · Testing60%

P4 · Third-Party78%

ITS reporting deadline — 2d remaining CRITICAL

TLPT schedule gap — AWS EU-WEST-1 HIGH

Contract renewal due — CloudFlare CDN INFO

⊛ Bowtie analysis active

DORA-pilarer dekket

134+

Krav sporet

ISO

27005-risikometodikk

Datalagring · Cloudflare

// utfordringen

De fleste virksomheter håndterer DORA i Excel. Det holder ikke.

Håndhevingen er her. Risikoregistre i regneark, hendelser i e-post og dokumenter spredt i SharePoint tilfredsstiller ikke et tilsynsreview.

📉

Alt er et annet sted

Risikoregistre i Excel, kontroller i SharePoint, hendelser i e-post. Når revisor vil ha et helhetlig bilde, bruker du en uke på å samle det.

⏳

134 krav, sporet manuelt

Å spore hva som er gjort, hva som er delvis dekket og hva som mangler på tvers av 134 DORA-artikler og Nivå 2-tiltak manuelt er en fulltidsjobb i seg selv.

🔍

Vanskelig å bevise når det teller

Når NCA ber om dokumentasjon, holder ikke en mappe med PDF-er. Du trenger tidsstempler, versjonshistorikk og sporbare beslutninger.

// slik fungerer det

Oppe og i gang på dager, ikke måneder

Ingen konsulenter, ingen implementeringsprosjekt. Du kan ha første register live samme dag.

Registrer deg & konfigurer

Opprett konto, sett opp styringsroller og start bygging av IKT-aktivitetsinventar. Alle 134 DORA- og RTS/ITS-krav er forhåndslastet.

Vurder & dokumenter

Kjør gapanalyse mot hvert artikkel, bygg risikoregisteret og dokumenter kritiske funksjonsavhengigheter. CIF-registeret kobler alt automatisk.

Overvåk & rapporter

Spor status på tvers av alle fire pilarer, håndter hendelser med innebygd deadlinesporing, og eksporter et fullstendig revisjonssammendrag ved behov.

Fullstendig dekning

Alle fire DORA-pilarer
på én plattform.

Hvert artikkel, hver RTS, hver ITS – kartlagt til konkrete moduler. Ikke enda en sjekkliste. Et operativt compliance-system.

Pillar 1 · Art. 5–16

IKT-risikostyring

Klargjør roller og ansvar, dokumenter IKT-risikorammeverket og vedlikehold CIF-registeret – registeret som kobler seg til alle andre krav.

Styring & strategi

Aktivaregister (CIF)

Risikoregister + Bowtie

Kontrollbibliotek

Pillar 2 · Art. 17–23

Hendelsesrapportering

Klassifiser, prioriter og rapporter IKT-hendelser med innebygde ITS 2024/2956-maler. Spor tidslinjer og administrer store hendelsesarbeidsflyter fra start til slutt.

Hendelsesklassifisering

Arbeidsflyt for store hendelser

ITS-rapporteringsmaler

Tidslinje & revisjonsspor

Pillar 3 · Art. 24–27

Motstandsdyktighetstesting

Planlegg årlig testprogram mot CIF-registeret, spor funn til utbedring og administrer hele TLPT-livssyklusen for enheter i omfang.

Testplan

TLPT-administrasjon

Funnregister

RTS compliance-kartlegging

Pillar 4 · Art. 28–44

Tredjeparts IKT-risiko

Registrer alle IKT-leverandører, spor de åtte obligatoriske kontraktsklausulene per Art. 30, og overvåk konsentrasjonsrisiko før tilsynet flagger det.

Leverandørregister

Kontraktregister + ROI

Leverandørspørreskjemaer

LEI / GLEIF-oppslag

// funksjoner

Bygget for DORA, ikke tilpasset til det

Hver modul tilsvarer en DORA-artikkel. Intet generisk GRC-rammeverk å konfigurere, ingen konsulenter for å gjøre det relevant.

Art. 5–45 · RTS/ITS Level 2

Compliance-tracker for 134 krav

Alle krav fra DORA-artikler og Nivå 2 RTS/ITS-tiltak er ferdiglastet med artikkelreferanser og gapanalyse. L1–L5 modenhetsskoring på tvers av alle regulatoriske krav.

134 krav som dekker DORA-artikler og RTS/ITS Nivå 2
L1 Innledende → L5 Optimalisert modenhetsskala per krav
Oppgaveoppretting med ett klikk fra identifiserte gap
Fremdriftsoversikt per pilar og per artikkel

Article	Requirement	Status
Art. 5	Management body approval of ICT risk framework	Compliant
Art. 6	Documented ICT risk management framework	Compliant
Art. 8	CIF identification and classification	Partial
Art. 9	ICT risk identification and assessment	Compliant
Art. 11	Business continuity policy and BIA	Gap

ISO 27005 · ISO 31000

Bowtie-risikovisualisering

Visualiser risikoens årsaker, forebyggende kontroller, risikoer, gjenopprettingskontroller og konsekvenser i et Bowtie-diagram – koblet til kontrollbiblioteket.

SVG-gjengitte interaktive Bowtie-diagrammer
5 trusselkategorier og 5 konsekvenskategorier
Barrierestolper koblet til kontrollbibliotekoppføringer
Hurtigstart fra enhver risikoregisterrad

Art. 9 · Risk Appetite

Risiko-varmekart & trendanalyse

5×5 risikokart med konfigurerbare toleransegrenser, automatiske risikoappetittbeslutninger og historiske trendkart som viser hvordan risikoprofilen utvikler seg.

Iboende og residuell risikoskoring (1–5 skala)
Automatisk beregnede Aksepter / Gjennomgå / Eskaler-beslutninger
Varsler om toleransebrudd på dashboardet
Historiske trendkart fra risikobildeoversikter

Likelihood × Impact

Godta Review Escalate

Cross-Platform

Oppgave- & arbeidsflytmotor

Opprett utbedringsoppgaver fra compliance-gap, risikobehandlinger, hendelser og testfunn. Spor prioritet, ansvarlig, frister og fullføring med fullstendig revisjonsspor.

Automatisk genererte TSK-NNN-ID-er med revisjonsspor
Tverrside-oppretting fra gap, risikoer, hendelser, tester
Prioritetsnivåer: Kritisk / Høy / Medium / Lav
Forfalt sporing og dashboardintegrasjon

Task	Source	Priority	Status
TSK-001	Art. 11 gap	Critical	In Progress
TSK-002	Risk R-003	High	Open
TSK-003	INC-2026-001	Critical	Done
TSK-004	Test findings	High	Open

// og mer

Alt annet du trenger

📄

IKT-risikorammeverk

Trebelt dokumenthierarki: retningslinjer, standarder og prosedyrer. Versjonshistorikk, godkjenningssporing og gapanalyse som viser hva som mangler per artikkel.

🔗

CIF-avhengighetskart

Se hvilke kritiske funksjoner som er avhengige av hvilke IKT-aktiva og tredjeparter. Nyttig ved scoping av tester eller vurdering av om exitstrategiene er realistiske.

📊

Forretningskonsekvensvurdering

Trinnvis BIA som dekker MTPD, RTO og RPO. Kritikalitetsskoring på fire konsekvensdimensjoner, automatisk nivåinndelt.

🛡

Hendelsesklassifisering

Gå gjennom klassifisering mot ITS-rapporteringskriteriene. Alvorlighetsvurdering og regulatoriske rapporteringstrinn er innebygd.

📋

Fullstendig revisjonsspor

Alle handlinger logget med tidsstempel og bruker. Søkbar, filtrerbar og eksporterbar som JSON. Nøyaktig det du trenger når tilsynet ber om dokumentasjon.

👥

Rollebasert tilgangskontroll

Tre tilgangsnivåer: administrator, analytiker, tilskuer. Sesjonsbasert autentisering, passordpolicyer og full aktivitetstilknytning på hver post.

Priser

Enkel, gjennomsiktig prising

Ingen per-bruker-gebyrer. Ingen implementeringskonsulenter. Én plattform, én pris.

Starter

€490/md

For mindre finansinstitusjoner som starter med DORA-etterlevelse.

Opptil 5 brukere
Alle 4 DORA-pilarer
134-krav compliance-tracker
Risikoregister og varmekart
Trusselregister
Hendelsesregister
CSV-eksport av alle registre
Revisjonsspor og JSON-eksport

Start gratis prøveperiode

Mest populær

Professional

€990/md

For mellomstore institusjoner som trenger hele plattformen.

Opptil 20 brukere
Alt i Starter
Bowtie-risikovisualisering
Forretningskonsekvensvurdering
Oppgave- og arbeidsflytmotor
Risikotrendanalyse
TLPT-fasestyring
Prioritert e-poststøtte

Start gratis prøveperiode

Enterprise

Custom

For store institusjoner med komplekse krav og dedikert støtte.

Ubegrenset antall brukere
Alt i Professional
Multi-rammeverk-kartlegging
Tilpassede rapportmaler
Dedikert instans
SSO / SAML-integrasjon
Onboarding og opplæring
SLA med navngitt support

Kontakt salg

// spørsmål

Ofte stilte spørsmål

DORA (EU 2022/2554) er EU-forordningen som krever at finansinstitusjoner demonstrerer digital operativ motstandsdyktighet på fem områder: IKT-risikostyring, hendelsesrapportering, motstandsdyktighetstesting, tredjepartsrisikotilsyn og informasjonsdeling. Den har vært i kraft siden januar 2025 og gjelder for banker, forsikringsforetak, investeringsforetak, betalingsinstitusjoner, e-pengeinstitusjoner, kryptotjenesteleverandører og deres kritiske IKT-leverandører.

Nærmest alle regulerte finansinstitusjoner i EU. Kredittinstitusjoner, forsikringsforetak, investeringsforetak, betalingsinstitusjoner, e-pengeinstitusjoner, kryptotjenesteleverandører og IKT-leverandørene som er utpekt som kritiske (CTPP-er). Forordningen gjelder for over 22 000 enheter i EU.

Plattformen leveres med alle 134 DORA- og RTS/ITS-krav forhåndslastet. De fleste team har sine første registre utfylt innen en uke eller to. Ingen konsulenter eller implementeringspartnere nødvendig.

Data lagres i Cloudflare D1 og er kryptert under overføring med TLS 1.3. Sesjonstokens bruker PBKDF2 med 100 000 iterasjoner. Tilgang er rollebasert, alle handlinger logges og sesjoner utløper automatisk. Vi deler ikke data med tredjeparter.

Ja. Revisjonseksporten produserer et tidsstemplet JSON-øyeblikksbilde av alle registre: styringsroller, risikoer, kontroller, hendelser, tester, leverandører, kontrakter og oppgaver. Brukeropprinnelse på hver oppføring.

Plattformen er bygget spesielt for DORA. Tilknytning til ISO 27001 og NIS2 er på veikartet. Risikometodologien følger ISO 27005 og ISO 31000.

// kom i kontakt

Snakk med oss

Vurderer du plattformen, eller har du bare et spørsmål om DORA? Send oss en melding.

Hvordan kan vi hjelpe?

Om du vil ha en gjennomgang, har et spesifikt DORA-spørsmål eller bare vil se plattformen før du bestemmer deg, send oss en melding.

✉

Email: [email protected]

🛟

Support: [email protected]

⚡

Typisk svar innen 24 timer

Send en melding

Håndterer du fortsatt DORA i Excel?

Gratis prøveperiode. Intet kredittkort, ingen oppsettsgebyrer, ingen konsulenter.

Start gratis prøveperiode →

Cookie	Provider	Purpose	Category	Duration
_ga	Google	Distinguishes unique visitors	Analytics	2 years
_ga_*	Google	Stores session state	Analytics	2 years

DORA-etterlevelse,faktisk håndterbart

Compliance Score

De fleste virksomheter håndterer DORA i Excel. Det holder ikke.

Alt er et annet sted

134 krav, sporet manuelt

Vanskelig å bevise når det teller

Oppe og i gang på dager, ikke måneder

Registrer deg & konfigurer

Vurder & dokumenter

Overvåk & rapporter

Alle fire DORA-pilarerpå én plattform.

IKT-risikostyring

Hendelsesrapportering

Motstandsdyktighetstesting

Tredjeparts IKT-risiko

Bygget for DORA, ikke tilpasset til det

Compliance-tracker for 134 krav

Bowtie-risikovisualisering

Risiko-varmekart & trendanalyse

Oppgave- & arbeidsflytmotor

Alt annet du trenger

IKT-risikorammeverk

CIF-avhengighetskart

Forretningskonsekvensvurdering

Hendelsesklassifisering

Fullstendig revisjonsspor

Rollebasert tilgangskontroll

Enkel, gjennomsiktig prising

Ofte stilte spørsmål

Snakk med oss

Hvordan kan vi hjelpe?

Send en melding

Håndterer du fortsatt DORA i Excel?

Informasjonskapselpolicy

1. What are cookies?

2. Cookies we use

3. Manage your preferences

4. Data processing

5. Legal basis

6. Contact

DORA-etterlevelse,
faktisk håndterbart

Alle fire DORA-pilarer
på én plattform.