En praktisk, artikkelbasert sjekkliste som dekker alle pilarer i DORA. Bruk den til å vurdere hvor din organisasjon står, forberede tilsynsgjennomganger og prioritere ditt samsvarsprogram.
Denne sjekklisten er direkte knyttet til artiklene og tekniske standardene i DORA (EU-forordning 2022/2554). Hvert punkt refererer til den spesifikke artikkelen det adresserer, slik at du kan spore hvert krav tilbake til forordningen. Sjekklisten er organisert etter de fem pilarene i DORA, med punkter sortert etter prioritet innen hver pilar.
Gå gjennom hvert punkt og vurder om din organisasjon har oppfylt kravet fullt ut, delvis eller ikke i det hele tatt. Punkter som er delvis eller ikke oppfylt, bør legges til i din utbedringsplan med tydelig eierskap og frister. For en poengbasert, automatisert versjon av denne vurderingen, bruk det gratis DORA-gapanalyseverktøyet, som dekker 25 spørsmål på tvers av alle fem pilarer og gir deg en umiddelbar modenhetsscore.
Forholdsmessighetsprinsippet (art. 4) gjelder gjennomgående. Ikke alle punkter gjelder på samme dybde for alle enheter. Mindre og enklere enheter kan oppfylle noen krav på et redusert nivå, særlig for IKT-risikostyringsrammeverket (art. 16) og testing (art. 25). Er du usikker på hva som forventes for din enhet, kontakt din tilsynsmyndighet.
Pilar 1: 7 punkter
Pilar 2: 9 punkter
Pilar 3: 7 punkter
Pilar 4: 7 punkter
Pilar 5: 9 punkter
Pilar 1
Sjekkliste for IKT-styring
Styring er fundamentet. Uten tydelig ansvarlighet på ledelsesorgannivå og et dokumentert rammeverk kan de øvrige pilarene ikke fungere effektivt. For en detaljert gjennomgang av hver artikkel, se vår guide for IKT-risikostyring.
Pilar 1
IKT-styring og risikorammeverk
Ledelsesorganet har formelt godkjent rammeverket for IKT-risikostyring og tildelt tydelig ansvar for implementeringenArt. 5(2)
IKT-risikoappetitt er definert av ledelsesorganet og dokumentert i rammeverketArt. 5(2)
Medlemmer av ledelsesorganet mottar jevnlig IKT-risikorapportering (minst kvartalsvis) og holder sin IKT-kunnskap oppdatert gjennom opplæringArt. 5(4)
Rammeverket for IKT-risikostyring er dokumentert, inkluderer en strategi for digital operasjonell motstandsdyktighet, og er gjennomgått innen de siste 12 månedeneArt. 6
En uavhengig internrevisjonsfunksjon gjennomgår IKT-risikostyringsrammeverket minst årlig, med funn rapportert til ledelsesorganetArt. 6(6)
Tilstrekkelig budsjett og ressurser er avsatt til IKT-sikkerhet og operasjonell motstandsdyktighet, godkjent av ledelsesorganetArt. 5(2)
En dedikert IKT-sikkerhetsfunksjon eller -ansvarlig er utnevnt med tydelige rapporteringslinjer til ledelsesorganetArt. 6(4)
Pilar 2
Sjekkliste for IKT-risikostyring
Denne pilaren dekker det operative innholdet i risikostyringsrammeverket: identifisering av eiendeler og risikoer, implementering av beskyttelseskontroller, oppdaging av trusler og planlegging for gjenoppretting.
Pilar 2 IKT-risikostyring
Komplett, løpende vedlikeholdt register over alle IKT-eiendeler finnes, der hver eiendel er klassifisert etter kritikalitet og koblet til forretningsfunksjonene den støtterArt. 8
Avhengigheter mellom IKT-støttede forretningsfunksjoner, IKT-eiendeler og IKT-tredjepartsleverandører er identifisert og dokumentertArt. 8(4)
IKT-sikkerhetsretningslinjer for tilgangskontroll, kryptering, nettverkssegmentering og oppdateringshåndtering er dokumentert, håndhevet og gjennomgått årligArt. 9
Endringshåndteringsprosedyrer finnes for alle IKT-systemendringer, med risikovurdering og tilbakeføringsprosedyrer for kritiske endringerArt. 9(4)(e)
Deteksjons- og overvåkingsmekanismer er på plass for å identifisere avvikende aktiviteter, inkludert logginnsamling, analyse og varsling for kritiske systemerArt. 10
Beredskapsplaner og IKT-katastrofegjenopprettingsplaner finnes med definert RTO, RPO og MTPD for hver kritisk funksjonArt. 11
Beredskaps- og katastrofegjenopprettingsplaner er testet innen de siste 12 månedene, med resultater dokumentert og brukt til å oppdatere planeneArt. 11(5)
Sikkerhetskopieringspolicy definerer omfang, frekvens og oppbevaringstid for alle kritiske systemer, og gjenopprettingsprosedyrer er testetArt. 12
Prosess for ettergjennomgang av hendelser er på plass, der erfaringer mates tilbake i risikovurderinger, kontroller og opplæringArt. 13
Pilar 3
Sjekkliste for IKT-hendelseshåndtering
Hendelseshåndtering under DORA defineres av strenge klassifiseringskriterier og rapporteringsfrister. Hovedutfordringen for de fleste enheter er å overholde fristen på 4 timer for innledende varsling, som krever forhåndsforberedte maler og en velinnøvd eskalieringsprosess.
Pilar 3 Hendelseshåndtering og rapportering
Dokumentert hendelseshåndteringsprosess finnes med tydelige roller, ansvar og eskaleringsstier for IKT-relaterte hendelserArt. 17
Klassifiseringsrammeverk for hendelser er implementert med kriteriene definert i CDR 2024/1772 (berørte kunder, varighet, datatap, geografisk spredning, økonomisk påvirkning)Art. 18
Organisasjonen kan sende en innledende varsling til tilsynsmyndigheten innen 4 timer etter klassifisering av en alvorlig hendelse, og senest 24 timer etter oppdagelseArt. 19(4)(a)
ITS 2024/2956-rapportmaler er forberedt og forhåndsutfylt for rask innsending av innledende, mellom- (72 t) og sluttrapporter (1 mnd)Art. 19
Alle IKT-relaterte hendelser logges og klassifiseres, ikke bare alvorlige hendelser, for å støtte trendanalyse og tilsynsforespørslerArt. 17(2)
Kommunikasjonsplan for alvorlige hendelser dekker intern eskalering, kundevarsling og ekstern kommunikasjon med tilsynsmyndigheter og offentlighetenArt. 14
Frivillig rapportering av vesentlige cybertrusler til tilsynsmyndigheten er vurdert og en prosess definert for å gjøre det ved behovArt. 19(2)
Pilar 4
Sjekkliste for testing av motstandsdyktighet
Testing validerer alt annet. Uten et strukturert testprogram gir ditt risikostyringsrammeverk, beredskapsplaner og sikkerhetskontroller kun teoretisk sikring. For en detaljert guide til å bygge ditt testprogram, se vår guide for testing av motstandsdyktighet.
Pilar 4 Testing av motstandsdyktighet
Et dokumentert, forholdsmessig testprogram som dekker alle kritiske IKT-systemer og applikasjoner er i drift og gjennomgås årligArt. 24
Sårbarhetsvurderinger og nettverkssikkerhetsgjennomganger gjennomføres minst årlig på alle kritiske systemer, med funn sporet til utbedringArt. 25
Scenariobasert testing (inkludert IKT-avbruddsscenarier) gjennomføres jevnlig for å validere beredskaps- og katastrofegjenopprettingsplanerArt. 25
Kildekodegjennomganger og ytelsestesting gjennomføres på kritiske systemer der det er gjennomførbart og forholdsmessigArt. 25
Testresultater mates tilbake i IKT-risikostyringsrammeverket, med funn som driver oppdateringer av risikovurderinger og kontrollerArt. 24(5)
Relevans for trusseldrevet penetrasjonstesting (TLPT) i henhold til art. 26 er vurdert med tilsynsmyndigheten og dokumentertArt. 26
Dersom utpekt for TLPT: kvalifiserte eksterne testere er engasjert, tilsynsmyndigheten er varslet, og TLPT er gjennomført innen de siste 3 årene med resultater deltArt. 26–27
Pilar 5
Sjekkliste for IKT-tredjepartsrisiko
Tredjepartstilsyn er et av DORAs mest særpregede krav. Informasjonsregisteret, obligatoriske kontraktsklausuler og vurdering av konsentrasjonsrisiko går langt utover det eksisterende finansregulering krever. For mange enheter krever denne pilaren den mest betydelige operasjonelle endringen.
Pilar 5 IKT-tredjepartsrisiko
Informasjonsregister over alle IKT-tredjepartsavtaler vedlikeholdes løpende i ITS 2024/2956-format, klart for innsending til tilsynsmyndighetenArt. 28(3)
Risikovurderinger før kontraktsinngåelse gjennomføres for alle IKT-leverandører som støtter kritiske funksjoner, med dekning av sikkerhet, kontinuitet og exit-risikoArt. 28(4)
Konsentrasjonsrisiko fra IKT-leverandører vurderes på tvers av enhetens leverandørbase og rapporteres til ledelsesorganet minst årligArt. 28(5)
Alle IKT-kontrakter for kritiske funksjoner inneholder de obligatoriske klausulene i art. 30(2): utgangsrettigheter, revisjonstilgang, SLA-er, sikkerhetskrav, varsling om underleverandørerArt. 30(2)
Exit-strategier er definert for alle kritiske IKT-leverandøravtaler, med overgangsplaner som kan aktiveres dersom leverandørforholdet må avsluttesArt. 28(8)
Underleverandørkjeder for kritiske IKT-tjenester er identifisert og dokumentert, med underleverandører inkludert i informasjonsregisteretArt. 29
Løpende overvåking av IKT-leverandørytelse, sikkerhetshendelser og etterlevelse av kontraktsforpliktelser er på plassArt. 28(2)
Revisjonsrettigheter over IKT-leverandører utøves periodisk, enten direkte eller gjennom samlede revisjoner eller tredjepartssertifiseringerArt. 30(2)(e)
Der kritiske IKT-leverandører er utpekt som CTPP-er, samarbeider enheten med hovedtilsynsførerens informasjonsforespørsler og tilsynsaktiviteterArt. 31–44
Neste steg
Fra sjekkliste til handling
En sjekkliste identifiserer gap. Det som betyr noe er hva du gjør videre. Slik gjør du din vurdering om til et strukturert samsvarsprogram.
Prioriter etter risiko og synlighet. Ikke alle sjekklistepunkter veier like tungt. Punkter knyttet til hendelsesrapportering (pilar 3) og informasjonsregisteret (pilar 5) er mest synlige for tilsynsmyndigheter og bør adresseres først dersom de ikke allerede er på plass. Styringspunkter (pilar 1) er grunnleggende og ofte det første området som gjennomgås i et tilsynsengasjement.
Tildel eierskap. Hvert gap bør ha en navngitt eier med en tydelig frist. DORA-samsvar er ikke et rent IT-initiativ; det krever samordning mellom IKT, risiko, compliance, juridisk og ledelsesorganet. Bruk et oppgavehåndteringssystem for å spore utbedring og sikre synlighet på tvers av team.
Bruk en poengbasert vurdering. Denne sjekklisten gir deg en kvalitativ oversikt. For en kvantitativ score, ta den gratis DORA-gapanalysen, som scorer din modenhet på tvers av alle fem pilarer på en skala fra 1-5 og identifiserer dine svakeste områder. Vurderingen tar omtrent 3 minutter og krever ingen konto.
Automatiser der det er mulig. DORA-samsvar er ikke en engangsøvelse. Forordningen krever løpende vedlikehold av eiendelregistre, kontinuerlig hendelsesovervåking, årlig testing og løpende oppdatering av informasjonsregisteret. Manuelle prosesser skalerer ikke. DORA GRC automatiserer datainnsamling, kobling og rapportering på tvers av alle fem pilarer slik at teamet ditt kan fokusere på beslutninger fremfor dataregistrering.
Gjennomgå årlig. IKT-risikostyringsrammeverket, testprogrammet, beredskapsplaner og informasjonsregisteret skal alle gjennomgås minst årlig. Bygg en samsvarskalender som planlegger disse gjennomgangene, tilpasser dem til din internrevisjonssyklus, og sikrer at ledelsesorganet mottar rettidig rapportering om resultatene.
FAQ
Ofte stilte spørsmål
Nei. DORA anvender et forholdsmessighetsprinsipp i henhold til art. 4, som betyr at kravene skaleres etter enhetens størrelse, risikoprofil og tjenestenes art. Mikroforetak og mindre enheter kan benytte et forenklet IKT-risikostyringsrammeverk under art. 16 og har reduserte testforpliktelser. Alle enheter som er omfattet, må imidlertid overholde kjernekravene for hendelsesrapportering, tredjepartsrisikostyring og styringsansvar. Sjekklisten ovenfor dekker hele kravsettet; mindre enheter bør identifisere hvilke punkter som gjelder på et redusert detaljnivå.
Rammeverket for IKT-risikostyring skal gjennomgås minst årlig i henhold til art. 6. Beredskaps- og katastrofegjenopprettingsplaner skal testes minst årlig i henhold til art. 11(5). Testprogrammet skal gjennomgås og oppdateres minst årlig. Informasjonsregisteret skal vedlikeholdes løpende. I praksis gjennomfører de fleste enheter en formell samsvargjennomgang minst årlig, med hyppigere gjennomganger utløst av vesentlige hendelser, materielle endringer i IKT-porteføljen eller ny regulatorisk veiledning.
DORA er underlagt tilsyn fra nasjonale tilsynsmyndigheter som har en rekke håndhevingsverktøy. Konsekvenser kan omfatte tilsynsfunn med frist for utbedring, formelle pålegg om å stanse ikke-samsvarende aktiviteter, offentlige uttalelser som identifiserer enheten og overtredelsen, administrative bøter, og personlig ansvar for medlemmer av ledelsesorganet som har sviktet i sine styringsforpliktelser under art. 5.
DORA GRC tilbyr en spesialbygget plattform for håndtering av DORA-samsvar på tvers av alle fem pilarer, inkludert et gratis gapanalyseverktøy som scorer din beredskap. Din nasjonale tilsynsmyndighet publiserer veiledning spesifikk for din enhetstype og jurisdiksjon. ESA-ene (EBA, ESMA, EIOPA) publiserer de regulatoriske tekniske standardene og gjennomføringsstandardene som gir detaljert implementeringsveiledning. For en komplett oversikt over forordningen, se vår DORA compliance-guide.