Bakgrunn

Hva er DORA?

DORA er EU-forordning 2022/2554, Digital Operational Resilience Act (forordningen om digital operasjonell motstandsdyktighet). Den stiller bindende krav til hvordan finansielle enheter håndterer risiko knyttet til sin avhengighet av informasjons- og kommunikasjonsteknologi. Forordningen trådte i kraft 16. januar 2023 og ble gjeldende 17. januar 2025.

Forordningen gjelder for omtrent 22 000 finansielle enheter som opererer i EU. Tilsynet utøves av nasjonale tilsynsmyndigheter som ECB, EBA, ESMA og EIOPA, avhengig av type enhet. Manglende etterlevelse kan resultere i tilsynstiltak og økonomiske sanksjoner.

DORA samler IKT-risikokrav som tidligere var spredt over flere sektorspesifikke direktiver. Forordningen innfører et enkelt, teknologinøytralt rammeverk som dekker fem områder: styring, risikostyring, hendelsesrapportering, testing av motstandsdyktighet og tredjepartstilsyn. Hvert område er knyttet til spesifikke artikler i forordningen og til tilhørende regulatoriske tekniske standarder (RTS) og gjennomføringsstandarder (ITS) publisert av ESA-ene.

De fem pilarene

De 5 pilarene i DORA-samsvar

DORA organiserer sine krav i fem distinkte områder. Hver pilar har sitt eget artikkelområde, tilhørende tekniske standarder og spesifikke forpliktelser som varierer etter enhetstype og størrelse.

1
IKT-styring
Art. 5–16 — Rammeverk for IKT-risikostyring

Ledelsesorganet i en finansiell enhet er ansvarlig for å godkjenne, overvåke og være ansvarlig for rammeverket for IKT-risikostyring. Dette kan ikke delegeres helt til IT-avdelingen. Art. 5(2) gjør ledelsesorganet personlig ansvarlig for å definere IKT-risikoappetitt og holde seg informert om IKT-trusselbildet.

Enheter må utarbeide og vedlikeholde et dokumentert rammeverk for IKT-risikostyring, som gjennomgås minst årlig. Rammeverket skal omfatte en IKT-strategi, en internrevisjonsfunksjon med IKT-kompetanse, og tydelige retningslinjer for IKT-sikkerhet, tilgangskontroll og dataforvaltning.

Eksempel på krav Ledelsesorganet skal motta regelmessig rapportering om IKT-risiko. I henhold til art. 5(4) forventes medlemmer av ledelsesorganet å holde sin IKT-kunnskap oppdatert, blant annet gjennom relevant opplæring.
2
IKT-risikostyring
Art. 8–14 — Krav til IKT-risikorammeverk

Denne pilaren dekker det operative innholdet i rammeverket for risikostyring. Enheter skal vedlikeholde et komplett, oppdatert register over IKT-eiendeler (art. 8), kartlegge avhengigheter mellom funksjoner, eiendeler og leverandører, og identifisere trusler og sårbarheter på løpende basis.

Beredskapsplaner og IKT-katastrofegjenopprettingsplaner er obligatoriske i henhold til art. 11. Disse planene skal inneholde definerte gjenopprettingsmål: Recovery Time Objective (RTO), Recovery Point Objective (RPO) og Maximum Tolerable Period of Disruption (MTPD) for hver kritisk funksjon.

Eksempel på krav I henhold til art. 11(5) skal beredskaps- og katastrofegjenopprettingsplaner testes minst årlig. Resultater skal dokumenteres og brukes til å oppdatere planene.
3
IKT-hendelseshåndtering
Art. 17–23 — Klassifisering og rapportering av hendelser

DORA krever en dokumentert prosess for å oppdage, klassifisere og håndtere IKT-relaterte hendelser. Klassifiseringsrammeverket i art. 18, og den delegerte forordningen CDR 2024/1772, definerer kriterier for hva som utgjør en alvorlig hendelse, inkludert antall berørte kunder, varighet, datatap, geografisk spredning og økonomisk påvirkning.

For alvorlige hendelser er rapporteringsfristene strenge og ufravikelige. En innledende varsling skal sendes til tilsynsmyndigheten innen 4 timer etter at enheten har klassifisert hendelsen som alvorlig, og under enhver omstendighet senest 24 timer etter at hendelsen først ble oppdaget. En mellomrapport følger innen 72 timer. En sluttrapport skal leveres innen én måned etter at hendelsen er avsluttet.

Eksempel på krav Art. 19(4)(a) krever en innledende varsling til tilsynsmyndigheten innen 4 timer etter klassifisering. Enheter må ha forhåndsforberedte maler i ITS 2024/2956-format for å overholde denne fristen i praksis.
4
Digital testing av motstandsdyktighet
Art. 24–27 — Krav til testprogram

Alle finansielle enheter som er omfattet, skal ha et testprogram som dekker deres kritiske IKT-systemer. Som minimum betyr dette årlige sårbarhetsvurderinger og nettverkssikkerhetsgjennomganger. Programmet skal være forholdsmessig i forhold til enhetens størrelse, risikoprofil og forretningsmodell.

Større eller mer systemviktige enheter skal gjennomføre trusseldrevet penetrasjonstesting (TLPT) minst hvert tredje år. TLPT følger en strukturert metodikk definert i RTS 2025/1190 og innebærer testing av produksjonssystemer basert på reell trusseletterretning, med deltakelse fra enhetens kritiske IKT-tredjepartsleverandører.

Eksempel på krav I henhold til art. 26(1) skal enheter utpekt for TLPT engasjere en kvalifisert ekstern tester og koordinere med sin tilsynsmyndighet før testing starter. Omfanget skal dekke kritiske funksjoner og systemene som understøtter dem.
5
IKT-tredjepartsrisiko
Art. 28–44 — Tredjepartstilsyn

Finansielle enheter skal føre et informasjonsregister over alle IKT-tredjepartsavtaler, strukturert i henhold til ITS 2024/2956. Dette registeret leveres til tilsynsmyndigheter på forespørsel, og for de fleste enheter var første frist 30. april 2025. Enheter skal også gjennomføre risikovurderinger før kontraktsinngåelse for leverandører som støtter kritiske eller viktige funksjoner (CIF-er), og vurdere konsentrasjonsrisiko på tvers av sin leverandørbase.

Kontrakter med leverandører av CIF-relaterte tjenester skal inneholde obligatoriske klausuler i henhold til art. 30(2), som dekker utgangsrettigheter, revisjonstilgang, tjenestenivåforpliktelser, sikkerhetskrav og varsling om underleverandører. Kritiske IKT-tredjepartsleverandører (CTPP-er) er underlagt direkte EU-tilsyn av en utpekt hovedtilsynsfører fra ESA-ene.

Eksempel på krav Art. 28(3) krever at enheter vedlikeholder informasjonsregisteret til enhver tid. Det skal identifisere hver IKT-tjeneste, den støttende leverandøren, om funksjonen er kritisk, og underleverandører som benyttes.
Praktisk referanse

Sjekkliste for DORA-samsvar

Bruk denne sjekklisten for å vurdere hvor din organisasjon står. Hvert punkt er knyttet til en spesifikk DORA-artikkel. Ønsker du et poengsatt resultat på tvers av alle fem pilarer, dekker det gratis vurderingsverktøyet 25 spørsmål på omtrent 3 minutter.

Pilar 1 IKT-styring
Ledelsesorganet har formelt godkjent rammeverket for IKT-risikostyring og tildelt tydelig ansvar Art. 5
Rammeverket for IKT-risikostyring er dokumentert, gjennomgås minst årlig og er underlagt uavhengig revisjon Art. 6
IKT-sikkerhetsretningslinjer for tilgangskontroll, kryptering og nettverkssegmentering er dokumentert og håndhevet Art. 9
Pilar 2 IKT-risikostyring
Komplett og vedlikeholdt register over alle IKT-eiendeler, funksjoner og deres avhengigheter er på plass Art. 8
Beredskaps- og katastrofegjenopprettingsplaner finnes med definert RTO, RPO og MTPD for hver kritisk funksjon Art. 11
Beredskaps- og gjenopprettingsplaner er testet i løpet av de siste 12 månedene og resultater er dokumentert Art. 11(5)
Pilar 3 Hendelseshåndtering
Dokumentert hendelseshåndteringsprosess finnes med klassifiseringskriterier i samsvar med CDR 2024/1772 Art. 17–18
Organisasjonen kan sende innledende varsling til tilsynsmyndigheten innen 4 timer etter klassifisering av en alvorlig hendelse Art. 19(4)(a)
Hendelsesrapporteringsmaler i ITS 2024/2956-format er forberedt og forhåndsutfylt for rask innsending Art. 19
Pilar 4 Testing av motstandsdyktighet
Et dokumentert, forholdsmessig testprogram som dekker alle kritiske IKT-systemer er i drift Art. 24
Sårbarhetsvurderinger og nettverkssikkerhetsgjennomganger gjennomføres minst årlig på kritiske systemer Art. 25
Anvendelighet for trusseldrevet penetrasjonstesting (TLPT) i henhold til art. 26 er vurdert og dokumentert Art. 26
Pilar 5 IKT-tredjepartsrisiko
Informasjonsregister over alle IKT-tredjepartsavtaler vedlikeholdes i ITS 2024/2956-format Art. 28(3)
Alle IKT-kontrakter for kritiske eller viktige funksjoner inneholder de obligatoriske klausulene påkrevd av art. 30(2) Art. 30
Konsentrasjonsrisiko fra IKT-leverandører vurderes og rapporteres til ledelsesorganet minst årlig Art. 28(5)
Viktige datoer

Tidslinje for DORA-samsvar

DORA har en fastsatt lovgivningstidslinje. Datoene nedenfor er de som er viktige for planlegging av etterlevelse og dialog med tilsynsmyndigheter.

16. januar 2023
Fullført
DORA trådte i kraft
EU-forordning 2022/2554 ble publisert i Den europeiske unions tidende og trådte i kraft. Den 24 måneders implementeringsperioden begynte. ESA-ene startet arbeidet med de tilhørende tekniske standardene.
Q1–Q3 2024
Fullført
Tekniske standarder ferdigstilt
De sentrale RTS-ene og ITS-ene ble publisert: RTS 2024/1774 (IKT-risikostyring), CDR 2024/1772 (hendelsesklassifisering), ITS 2024/2956 (hendelsesrapportering og format for informasjonsregister), og CDR 2024/1773 (tredjepartsrisiko og underleverandører). Disse gir detaljerte krav som utfyller hovedforordningen.
17. januar 2025
Håndhevelse aktiv
DORA ble gjeldende
DORA ble gjeldende i alle EU-medlemsstater. Finansielle enheter var forventet å være fullt ut i samsvar fra denne datoen. Tilsynsmyndigheter startet tilsynsgjennomganger og oppfølgingsprogrammer. Hendelsesrapporteringsforpliktelsene under art. 19 trådte umiddelbart i kraft.
30. april 2025
Fullført
Første innsending av informasjonsregisteret
Første referansedato for innsending av informasjonsregisteret til tilsynsmyndigheter. Enheter var pålagt å levere sitt komplette register over IKT-tredjepartsavtaler i ITS 2024/2956-format. Dette var den første store rapporteringsmilepælen under DORA.
Løpende
Kontinuerlig
Årlig testing, tilsyn og rapportering
DORA-forpliktelsene opphører ikke etter første innsending. Årlige sårbarhetsvurderinger kreves i henhold til art. 25. Hendelsesrapportering under art. 19 fortsetter hver gang en alvorlig hendelse inntreffer. TLPT skal gjentas minst hvert tredje år for enheter som er omfattet. Tilsynsmyndigheter gjennomfører løpende tilsynsgjennomganger og kan kreve ytterligere informasjon eller korrigerende tiltak når som helst.
Virkeområde

Hvem gjelder DORA for?

DORA definerer sitt virkeområde i art. 2. Forordningen dekker et bredt spekter av finanssektorenheter, inkludert både foretak med EU-lisens og IKT-tjenesteleverandører som betjener dem. Dersom du opererer i EUs finanssektor eller leverer IKT-tjenester til finansielle enheter i EU, er du sannsynligvis omfattet.

Kredittinstitusjoner (banker)
Betalingsforetak
E-pengeforetak
Verdipapirforetak
Kryptoaktiva-tjenesteleverandører
Verdipapirsentraler
Sentrale motparter
Forsikringsforetak
Gjenforsikringsforetak
Forsikringsformidlere
Tjenestepensjonsforetak
Kredittvurderingsbyråer
Transaksjonsregistre
Kritiske IKT-tredjepartsleverandører
Forholdsmessighetsprinsippet: Art. 4 i DORA tillater mindre og enklere enheter å anvende visse krav i forenklet form. Mikroforetak og enkelte småenheter har reduserte forpliktelser knyttet til IKT-risikostyringsrammeverket, testing og tredjepartstilsyn. Din tilsynsmyndighet kan gi råd om hvilken forenklet ordning som gjelder for din enhet.
Plattform

Hvordan DORA GRC hjelper

DORA GRC er bygget spesifikt for de fem pilarene beskrevet ovenfor. Hver modul er knyttet til en seksjon av forordningen, slik at du alltid jobber i konteksten av en bestemt artikkel i stedet for et generisk samsvarsverktøy.

Styring og risikorammeverk

IKT-risikoregisteret, eiendelregisteret, CIF-registeret og kontrollbiblioteket gir ledelsesorganet én samlet oversikt over IKT-risiko. Rapporter på styrenivå genereres automatisk fra aktive data og dekker punktene som kreves under art. 5. Risikoer er koblet til eiendeler, kontroller og hendelser slik at ingenting havner i separate regneark.

Hendelseshåndtering og rapportering

Hendelsesregisteret klassifiserer hendelser ved hjelp av CDR 2024/1772-kriteriene og sporer fristene på 4 timer, 72 timer og 1 måned automatisk. ITS 2024/2956-rapportmaler forhåndsutfylles fra hendelsesposten, slik at compliance-teamet bruker tid på nøyaktighet i stedet for formatering.

Testprogram for motstandsdyktighet

Testmodulen administrerer din årlige testplan, sporer hvilke kritiske IKT-systemer som er dekket, og registrerer resultater mot hver test. Resultater mates tilbake til risikoregisteret, som er tilbakemeldingssløyfen art. 25 krever. Dersom du er omfattet av TLPT, dokumenterer TLPT-sporeren omfang, testerens kvalifikasjoner og koordinering med tilsynsmyndigheten.

Tredjepartsrisiko og informasjonsregister

Leverandørregisteret og informasjonsregistermodulen dekker hele virkeområdet i art. 28 til 44. Kontraktsposter inkluderer sporing av obligatoriske klausuler mot art. 30(2). Informasjonsregisteret er strukturert etter ITS 2024/2956-skjemaet og kan eksporteres som en EBA-formatert innsendingsfil. Konsentrasjonsrisiko-dashboardet gir ledelsesorganet oversikten som kreves under art. 28(5).

For en komplett liste over funksjoner på tvers av alle fem pilarer, se funksjonssiden.