Hvorfor dedikert DORA-programvare betyr noe
Da DORA ble håndhevbar i januar 2025, forsøkte mange finansinstitusjoner å håndtere etterlevelse ved hjelp av eksisterende GRC-plattformer. Resultatene har vært blandet. Generell governance-, risiko- og compliance-programvare er utviklet for rammeverk som ISO 27001, SOC 2 eller NIST. Disse er nyttige standarder, men de samsvarer ikke med DORAs spesifikke krav.
DORA innfører forpliktelser som ikke har noe sidestykke i andre rammeverk. Informasjonsregisteret (Art. 28(3)) krever et strukturert datasett over alle IKT-tredjepartsavtaler i et format definert av ITS 2024/2956. Hendelsesrapportering etter Art. 19 har strenge tidsfrister: en førstemelding innen 4 timer etter klassifisering, en mellomrapport innen 72 timer og en slutrapport innen én måned. Dette er krav du ikke kan håndtere i et regneark eller et generisk saksbehandlingssystem.
DORAs fempilarstruktur (styring, risikostyring, hendelsesrapportering, testing av motstandsdyktighet og tredjepartstilsyn) skaper også krysskoblede avhengigheter. En IKT-eiendel er koblet til en kritisk funksjon, som er koblet til en leverandør, som er koblet til en kontrakt, som er koblet til en konsentrasjonsrisikovurdering. Programvare som behandler disse som adskilte siloer tvinger compliance-teamet til å vedlikeholde relasjonene manuelt — og det er der gap og revisjonsfunn oppstår.
Formalsbygget DORA-programvare adresserer dette ved å modellere forordningens struktur direkte. Hvert modul samsvarer med spesifikke DORA-artikler. Datarelasjonene speiler forordningens egne koblinger. Rapporter og eksporter bruker formatene tilsynsmyndighetene faktisk forventer. Dette er forskjellen mellom etterlevelse som en løpende driftsmodell og etterlevelse som en periodisk dokumentinnsamlingsoppgave.
Hvorfor velge en norskbygget DORA-plattform?
DORA (EU-forordning 2022/2554) er nå gjeldende norsk lov gjennom EØS-avtalen. Finanstilsynet har varslet at DORA er en tilsynsprioritet. Norske finansinstitusjoner må kunne dokumentere etterlevelse på tvers av alle fem pilarer.
De fleste DORA-verktøy på markedet er enten generiske GRC-plattformer med DORA som tilleggsmodul, eller nisjeverktøy som bare dekker tredjepartsrisiko (Pilar 4). DORA GRC er bygget fra grunnen av for DORA — hvert felt, register og arbeidsflyt er koblet direkte til spesifikke DORA-artikler.
Bygget i Norge
Utviklet av et norsk team med dyp forståelse for nordisk regulatorisk kontekst og Finanstilsynets tilsynspraksis.
EU/EØS-datalagring
Driftet på Cloudflare EU-infrastruktur. Ingen data overføres til USA eller tredjeland. Ivaretar DORA Art. 28-krav.
Norsk språk
Full norsk (bokmål) språkstøtte i plattformen. Ingen oversettelse nødvendig for ditt compliance-team.
Operativ på 1–2 uker
Ingen implementeringsprosjekt. Ingen konsulentavhengighet. 134 DORA-krav ferdig lastet. Klar til bruk på dager, ikke måneder.
Finanstilsynet og DORA i Norge
DORA trådte i kraft i EU 17. januar 2025. I Norge er forordningen gjennomført gjennom EØS-avtalen. Finanstilsynet har identifisert digital operasjonell motstandsdyktighet som et sentralt tilsynsområde.
For norske finansinstitusjoner betyr dette at etterlevelse ikke er valgfritt — det er et tilsynskrav. Når Finanstilsynet gjennomfører tematiske tilsyn, forventer de strukturert dokumentasjon: risikoregistre, hendelsesrapporter, testprogrammer og tredjepartsoversikter som er sporbare og revisjonsklare.
Regneark og e-postbaserte arbeidsflyter holder ikke når en tilsynsmyndighet ber om bevis på at en risiko er vurdert, en kontroll er testet, eller en leverandørvurdering er gjennomført. Du trenger et system med fullstendig revisjonsspor og strukturerte data.
Viktige funksjoner å vurdere
Ikke all DORA compliance-programvare er likeverdig. Når du evaluerer plattformer, er det disse funksjonene som skiller verktøy bygget for DORA fra verktøy tilpasset for det.
Plattformen bør dekke alle fem DORA-pilarer i ett miljø. Hvis du trenger ett verktøy for risikostyring, et annet for hendelsesrapportering og et tredje for informasjonsregisteret, bygger du integrasjonskompleksitet i stedet for å redusere den. Se etter et IKT-eiendelsregister (Art. 8), CIF-funksjonstilknytning, risikoregistre koblet til kontroller, hendelsesklassifisering med CDR 2024/1772-kriterier, testprogramstyring (Art. 24–27) og fullstendig tredjepartstilsyn inkludert underleverandørkjeder.
Register of Information (RoI) er ett av de mest dataintensive DORA-kravene. Programvaren må generere registeret i EBA ITS 2024/2956-skjema, støtte alle påkrevde enhets- og relasjonstyper, og ideelt sett inkludere en innebygd valideringsmotor som sjekker dataene dine mot de 85+ EBA-valideringsreglene før du sender inn til din NCA. Manuell RoI-montering fra regneark er et kjent feilpunkt.
Når en alvorlig IKT-hendelse inntreffer, har du 4 timer på å sende inn en førstemelding. Programvaren bør forhåndsutfylle ITS-rapporteringsmaler fra hendelsesposten, spore klassifisering mot CDR 2024/1772-terskler automatisk og håndtere de tre rapporteringsfasene (første, mellomløpende, slutt) med fridstyring. XML- og JSON-eksport i ITS-format bør være tilgjengelig uten manuell formatering.
DORA krever at ledelsesorganet kan demonstrere tilsyn og ansvar. Programvaren bør logge alle handlinger, beslutninger og endringer med tidsstempler og brukertilskrivning. Når en NCA ber om bevis for at en risiko ble gjennomgått, en kontroll ble testet, eller en leverandørvurdering ble gjennomført, må du kunne fremlegge dette uten å rekonstruere det fra e-posttråder og møtereferater.
DORAs datamodell er relasjonell. Eiendeler støtter funksjoner. Funksjoner er avhengige av leverandører. Leverandører medfører risikoer. Risikoer krever kontroller. Hendelser påvirker eiendeler og funksjoner. Programvaren bør modellere disse relasjonene innfødt, ikke som fritekstreferanser. En 360-graders visning av enhver entitet (eiendel, leverandør, funksjon, risiko) bør vise alle tilkoblede elementer på tvers av de fem pilarene, slik at konsekvensvurdering og avhengighetskartlegging er mulig som krevd av Art. 8(4–5).
Hva DORA GRC dekker
DORA GRC er en dedikert DORA compliance-plattform som dekker alle fem pilarer pluss EU CRA og EU AI Act — en kombinasjon ingen andre plattformer tilbyr.
Pilar 1: IKT-risikostyring
Styringsregistre (Art. 5), CIF-funksjonsregister, avhengighetskart, IKT-eiendelsregister, BIA med RTO/RPO/MTPD, 134-kravs compliance tracker.
Pilar 2: Hendelsesrapportering
Hendelsesregister med CDR 2024/1772-klassifisering, ITS-maler for NCA-innrapportering (XML/JSON), automatisk fristsporing (4t/72t/1mnd).
Pilar 3: Testing av motstandsdyktighet
Testprogramstyring (Art. 24–27), TLPT-fasestyring (Art. 26), funnregister, CIF-dekningsmatrise.
Pilar 4: Tredjepartstilsyn
Leverandørregister, kontraktregister (Art. 30), RoI med 85 EBA-valideringsregler, XBRL-eksport, konsentrasjonsrisiko, underleverandørkjeder.
EU CRA & EU AI Act
Produktregister, sårbarhetsspøring og SBOM (CRA). AI-systemregister, risikovurdering og 8-pilars compliance (AI Act). Ingen annen plattform tilbyr dette.
360° Etterretningshub
Tverrgående dashbord som viser risikoer, hendelser, kontroller, dokumenter og avhengigheter per entitet. Full oversikt på ett sted.
Typer DORA compliance-plattformer
Markedet for DORA-programvare har utviklet seg til tre brede kategorier. Hver har sine avveininger når det gjelder dekning, kostnad og tid til verdi.
Store, konfigurerbare plattformer som støtter flere compliance-rammeverk. DORA-dekning legges typisk til gjennom modullisenser, konsulentoppdrag eller tilpasset konfigurasjon. Styrker: bred rammeverksdekning, integrasjon med enterprise-IT, etablerte leverandørforhold. Svakheter: høy kostnad (ofte seks sifre per år), lange implementeringstider (3–12 måneder), DORA-spesifikke funksjoner kan være overfladiske eller kreve tilpasning. Best egnet for store institusjoner som allerede er investert i disse plattformene og kan avsette dedikerte GRC-implementeringsteam.
Skybaserte compliance-plattformer med fokus på fart og enkelhet. Primært utviklet for SOC 2, ISO 27001 og lignende rammeverk. Noen har lagt til DORA som et rammeverksalternativ og tilknyttet kontroller til DORA-artikler. Styrker: rask onboarding, rimelig prising, god automatisering for bevisinnsamling. Svakheter: DORA-dekning er typisk et kartleggingslag fremfor formalsbyggede moduler. De mangler generelt informasjonsregisteret, ITS-hendelsesmaler, konsentrasjonsrisikoanalyse og underleverandørkjedesøring som DORA spesifikt krever. Best egnet for aktrer som trenger en generell compliance-plattform og kan supplere DORA-gap manuelt.
Plattformer designet fra grunnen av for DORA-etterlevelse. Hvert modul samsvarer med en spesifikk pilar og artikkelrekkevidde. Datamodellen speiler DORAs egen struktur (funksjoner, eiendeler, leverandører, risikoer, kontroller, hendelser, tester). Disse plattformene inkluderer DORA-spesifikke funksjoner som ITS-format informasjonsregister med EBA-validering, hendelsesrapportering med CDR 2024/1772-klassifisering, BCP med RTO/RPO/MTPD-spøring og konsentrasjonsrisikodashbord. Styrker: dypest DORA-dekning, raskest tid til etterlevelse, regulatoriske oppdateringer innebygd. Svakheter: smalere omfang (fokusert på DORA fremfor multi-rammeverk). Best egnet for aktrer der DORA er den primære compliance-driveren.
DORA compliance-programvare sammenlignet
Nedenfor er en funksjon-for-funksjon-sammenligning av DORA compliance-plattformer på tvers av priser, pilardekning og nøkkelfunksjoner. Data er basert på offentlig tilgjengelig informasjon per mars 2026.
| Funksjon | DORA GRC | Vendorica | DORApp | 3rdRisk / Diligent | Formalize |
|---|---|---|---|---|---|
| Priser | |||||
| Startpris | €490/mnd | ~€1.500/mnd | €200/bruker/mnd | Pris på forespørsel | Ikke publisert |
| Prismodell | Fast månedspris | Fast månedspris | Per bruker | Enterprise-tilbud | Demo krevd |
| Kostnad for 10 brukere | €490/mnd | ~€1.500/mnd | €2.000/mnd | Ikke opplyst | Ikke opplyst |
| Implementeringskostnader | Ingen | Varierer | Varierer | Ja (enterprise) | Varierer |
| DORA-pilardekning | |||||
| Pilar 1 — IKT-styring og risiko | Full | Delvis | Delvis | Begrenset | Delvis |
| Pilar 2 — Hendelsesrapportering | Full | Ja | Ja | Begrenset | Delvis |
| Pilar 3 — Testing av motstandsdyktighet | Full | Nei | Nei | Nei | Nei |
| Pilar 4 — Tredjepartstilsyn | Full | Ja | Ja | Ja | Delvis |
| Pilar 5 — Informasjonsdeling | Ja | Delvis | Nei | Nei | Nei |
| Nøkkelfunksjoner | |||||
| CIF-funksjonsregister | Ja | Nei | Nei | Nei | Nei |
| Forretningskonsekvensanalyse (BIA) | Ja | Nei | Nei | Nei | Nei |
| Bowtie-risikovisualisering | Ja | Nei | Nei | Nei | Nei |
| RoI med EBA-validering (85 regler) | Ja | Delvis | Ja | Nei | Nei |
| XBRL / XML-eksport | Ja | Ja | Ja | Nei | Nei |
| ITS-hendelsesmaler | Ja | Ja | Ja | Nei | Nei |
| BCP og katastrofegjenoppretting | Ja | Nei | Nei | Nei | Nei |
| TLPT-fasestyring | Ja | Nei | Nei | Nei | Nei |
| 134-kravs compliance tracker | Ja | Nei | Nei | Nei | Delvis |
| 360° Etterretningshub | Ja | Nei | Nei | Nei | Nei |
| Konsentrasjonsrisikodashbord | Ja | Ja | Delvis | Ja | Nei |
| Underleverandørkjeder | Ja | Delvis | Nei | Ja | Nei |
| Tilleggsråmmeverk | |||||
| EU Cyber Resilience Act | Ja | Nei | Nei | Nei | Nei |
| EU AI Act | Ja | Nei | Nei | Nei | Nei |
| Plattform | |||||
| EU-datalagring | Ja | Ja | Ja | US-eid | Ja |
| Implementeringstid | 1–2 uker | 4–6 uker | 2–4 uker | 2–6 måneder | 2–4 uker |
| Fullstendig revisjonsspor | Ja | Ja | Ja | Ja | Ja |
| Flerspråklig | EN + NO | EN | EN | EN + NL | Flere |
Sammenligning basert på offentlig tilgjengelig informasjon per mars 2026. Funksjoner og priser kan ha endret seg. Full = helhetlig, formalsbygget modul. Delvis = grunnleggende eller begrenset dekning. Nei = ikke tilgjengelig eller ikke synlig.
Hva koster DORA-programvare egentlig?
De fleste DORA compliance-leverandører skjuler prisene sine. Her er hva et compliance-team på 10 personer kan forvente å betale årlig, inkludert typiske implementeringskostnader.
Hva du bør sjekke før du kjøper
Ut over funksjonslister finnes det praktiske hensyn som avgjør om en DORA-plattform vil fungere for din organisasjon. Dette er spørsmålene compliance-teamet bør stille under evaluering.
Slik passer DORA GRC inn
DORA GRC er en formalsbygget DORA compliance-plattform i kategori C-gruppen beskrevet ovenfor. Den ble designet fra starten for EU-forordning 2022/2554 og dekker alle fem pilarer i ett program. Her er hva det betyr i praksis.
Alle fem pilarer, én plattform
IKT-styring, risikostyring, hendelsesrapportering, testing av motstandsdyktighet og tredjepartstilsyn er alle innebygd. Hvert modul samsvarer med spesifikke DORA-artikler. Data flyter mellom pilarer automatisk: en eiendel kobles til sin funksjon, sin leverandør, sine risikoer og sine testresultater uten manuell krysskontroll. Se hele funksjonslisten.
Informasjonsregister med EBA-validering
RoI-modulen er strukturert etter ITS 2024/2956-skjema. En 85-regelvalideringsmotor sjekker dataene dine mot EBA-kravene før innsending. Eksporter i formatet din NCA forventer. Ingen regnearkmontasje nødvendig. Les mer om DORA Register of Information-kravene.
ITS-hendelsesrapporteringsmaler
Forhåndsutfylte hendelsesrapporter i XML og JSON med ITS 2024/2956-format. Klassifisering mot CDR 2024/1772-kriterier er automatisk. Fristene på 4 timer, 72 timer og 1 måned spores fra det øyeblikket en hendelse klassifiseres som alvorlig. Se veiledningen for hendelsesrapportering.
Operativ på dager, ikke måneder
Ingen obligatorisk konsulentengasjement. Intet seks måneders implementeringsprosjekt. DORA GRC er en skyplattform driftet i EU. Miljøet ditt klargjøres og er klart til bruk innen dager etter registrering. Priser starter på €490 per måned med ubegrensede brukere og alle pilarer inkludert. Be om en demo for å komme i gang.