Problemstillingen

Hvorfor dedikert DORA-programvare betyr noe

Da DORA ble håndhevbar i januar 2025, forsøkte mange finansinstitusjoner å håndtere etterlevelse ved hjelp av eksisterende GRC-plattformer. Resultatene har vært blandet. Generell governance-, risiko- og compliance-programvare er utviklet for rammeverk som ISO 27001, SOC 2 eller NIST. Disse er nyttige standarder, men de samsvarer ikke med DORAs spesifikke krav.

DORA innfører forpliktelser som ikke har noe sidestykke i andre rammeverk. Informasjonsregisteret (Art. 28(3)) krever et strukturert datasett over alle IKT-tredjepartsavtaler i et format definert av ITS 2024/2956. Hendelsesrapportering etter Art. 19 har strenge tidsfrister: en førstemelding innen 4 timer etter klassifisering, en mellomrapport innen 72 timer og en slutrapport innen én måned. Dette er krav du ikke kan håndtere i et regneark eller et generisk saksbehandlingssystem.

DORAs fempilarstruktur (styring, risikostyring, hendelsesrapportering, testing av motstandsdyktighet og tredjepartstilsyn) skaper også krysskoblede avhengigheter. En IKT-eiendel er koblet til en kritisk funksjon, som er koblet til en leverandør, som er koblet til en kontrakt, som er koblet til en konsentrasjonsrisikovurdering. Programvare som behandler disse som adskilte siloer tvinger compliance-teamet til å vedlikeholde relasjonene manuelt — og det er der gap og revisjonsfunn oppstår.

Formalsbygget DORA-programvare adresserer dette ved å modellere forordningens struktur direkte. Hvert modul samsvarer med spesifikke DORA-artikler. Datarelasjonene speiler forordningens egne koblinger. Rapporter og eksporter bruker formatene tilsynsmyndighetene faktisk forventer. Dette er forskjellen mellom etterlevelse som en løpende driftsmodell og etterlevelse som en periodisk dokumentinnsamlingsoppgave.


Norsk fordel

Hvorfor velge en norskbygget DORA-plattform?

DORA (EU-forordning 2022/2554) er nå gjeldende norsk lov gjennom EØS-avtalen. Finanstilsynet har varslet at DORA er en tilsynsprioritet. Norske finansinstitusjoner må kunne dokumentere etterlevelse på tvers av alle fem pilarer.

De fleste DORA-verktøy på markedet er enten generiske GRC-plattformer med DORA som tilleggsmodul, eller nisjeverktøy som bare dekker tredjepartsrisiko (Pilar 4). DORA GRC er bygget fra grunnen av for DORA — hvert felt, register og arbeidsflyt er koblet direkte til spesifikke DORA-artikler.

🇳🇴

Bygget i Norge

Utviklet av et norsk team med dyp forståelse for nordisk regulatorisk kontekst og Finanstilsynets tilsynspraksis.

🔒

EU/EØS-datalagring

Driftet på Cloudflare EU-infrastruktur. Ingen data overføres til USA eller tredjeland. Ivaretar DORA Art. 28-krav.

💬

Norsk språk

Full norsk (bokmål) språkstøtte i plattformen. Ingen oversettelse nødvendig for ditt compliance-team.

Operativ på 1–2 uker

Ingen implementeringsprosjekt. Ingen konsulentavhengighet. 134 DORA-krav ferdig lastet. Klar til bruk på dager, ikke måneder.


Regulatorisk kontekst

Finanstilsynet og DORA i Norge

DORA trådte i kraft i EU 17. januar 2025. I Norge er forordningen gjennomført gjennom EØS-avtalen. Finanstilsynet har identifisert digital operasjonell motstandsdyktighet som et sentralt tilsynsområde.

For norske finansinstitusjoner betyr dette at etterlevelse ikke er valgfritt — det er et tilsynskrav. Når Finanstilsynet gjennomfører tematiske tilsyn, forventer de strukturert dokumentasjon: risikoregistre, hendelsesrapporter, testprogrammer og tredjepartsoversikter som er sporbare og revisjonsklare.

Regneark og e-postbaserte arbeidsflyter holder ikke når en tilsynsmyndighet ber om bevis på at en risiko er vurdert, en kontroll er testet, eller en leverandørvurdering er gjennomført. Du trenger et system med fullstendig revisjonsspor og strukturerte data.


Evalueringskriterier

Viktige funksjoner å vurdere

Ikke all DORA compliance-programvare er likeverdig. Når du evaluerer plattformer, er det disse funksjonene som skiller verktøy bygget for DORA fra verktøy tilpasset for det.

1
Dekning av alle fem pilarer
Styring, risiko, hendelser, testing, tredjeparter

Plattformen bør dekke alle fem DORA-pilarer i ett miljø. Hvis du trenger ett verktøy for risikostyring, et annet for hendelsesrapportering og et tredje for informasjonsregisteret, bygger du integrasjonskompleksitet i stedet for å redusere den. Se etter et IKT-eiendelsregister (Art. 8), CIF-funksjonstilknytning, risikoregistre koblet til kontroller, hendelsesklassifisering med CDR 2024/1772-kriterier, testprogramstyring (Art. 24–27) og fullstendig tredjepartstilsyn inkludert underleverandørkjeder.

2
Informasjonsregisteret
Art. 28(3) — ITS 2024/2956

Register of Information (RoI) er ett av de mest dataintensive DORA-kravene. Programvaren må generere registeret i EBA ITS 2024/2956-skjema, støtte alle påkrevde enhets- og relasjonstyper, og ideelt sett inkludere en innebygd valideringsmotor som sjekker dataene dine mot de 85+ EBA-valideringsreglene før du sender inn til din NCA. Manuell RoI-montering fra regneark er et kjent feilpunkt.

3
ITS-hendelsesrapporteringsmaler
Art. 19 — ITS 2024/2956-format

Når en alvorlig IKT-hendelse inntreffer, har du 4 timer på å sende inn en førstemelding. Programvaren bør forhåndsutfylle ITS-rapporteringsmaler fra hendelsesposten, spore klassifisering mot CDR 2024/1772-terskler automatisk og håndtere de tre rapporteringsfasene (første, mellomløpende, slutt) med fridstyring. XML- og JSON-eksport i ITS-format bør være tilgjengelig uten manuell formatering.

4
Revisjonsspor og bevis
Art. 5–6 — Styringskrav

DORA krever at ledelsesorganet kan demonstrere tilsyn og ansvar. Programvaren bør logge alle handlinger, beslutninger og endringer med tidsstempler og brukertilskrivning. Når en NCA ber om bevis for at en risiko ble gjennomgått, en kontroll ble testet, eller en leverandørvurdering ble gjennomført, må du kunne fremlegge dette uten å rekonstruere det fra e-posttråder og møtereferater.

5
Kryss-entitetsrelasjoner
Eiendel ↔ Funksjon ↔ Leverandør ↔ Risiko

DORAs datamodell er relasjonell. Eiendeler støtter funksjoner. Funksjoner er avhengige av leverandører. Leverandører medfører risikoer. Risikoer krever kontroller. Hendelser påvirker eiendeler og funksjoner. Programvaren bør modellere disse relasjonene innfødt, ikke som fritekstreferanser. En 360-graders visning av enhver entitet (eiendel, leverandør, funksjon, risiko) bør vise alle tilkoblede elementer på tvers av de fem pilarene, slik at konsekvensvurdering og avhengighetskartlegging er mulig som krevd av Art. 8(4–5).


Plattform

Hva DORA GRC dekker

DORA GRC er en dedikert DORA compliance-plattform som dekker alle fem pilarer pluss EU CRA og EU AI Act — en kombinasjon ingen andre plattformer tilbyr.

Pilar 1: IKT-risikostyring

Styringsregistre (Art. 5), CIF-funksjonsregister, avhengighetskart, IKT-eiendelsregister, BIA med RTO/RPO/MTPD, 134-kravs compliance tracker.

Pilar 2: Hendelsesrapportering

Hendelsesregister med CDR 2024/1772-klassifisering, ITS-maler for NCA-innrapportering (XML/JSON), automatisk fristsporing (4t/72t/1mnd).

Pilar 3: Testing av motstandsdyktighet

Testprogramstyring (Art. 24–27), TLPT-fasestyring (Art. 26), funnregister, CIF-dekningsmatrise.

Pilar 4: Tredjepartstilsyn

Leverandørregister, kontraktregister (Art. 30), RoI med 85 EBA-valideringsregler, XBRL-eksport, konsentrasjonsrisiko, underleverandørkjeder.

EU CRA & EU AI Act

Produktregister, sårbarhetsspøring og SBOM (CRA). AI-systemregister, risikovurdering og 8-pilars compliance (AI Act). Ingen annen plattform tilbyr dette.

360° Etterretningshub

Tverrgående dashbord som viser risikoer, hendelser, kontroller, dokumenter og avhengigheter per entitet. Full oversikt på ett sted.


Markedslandskapet

Typer DORA compliance-plattformer

Markedet for DORA-programvare har utviklet seg til tre brede kategorier. Hver har sine avveininger når det gjelder dekning, kostnad og tid til verdi.

A
Enterprise GRC-suiter
ServiceNow, Archer, MetricStream, OneTrust

Store, konfigurerbare plattformer som støtter flere compliance-rammeverk. DORA-dekning legges typisk til gjennom modullisenser, konsulentoppdrag eller tilpasset konfigurasjon. Styrker: bred rammeverksdekning, integrasjon med enterprise-IT, etablerte leverandørforhold. Svakheter: høy kostnad (ofte seks sifre per år), lange implementeringstider (3–12 måneder), DORA-spesifikke funksjoner kan være overfladiske eller kreve tilpasning. Best egnet for store institusjoner som allerede er investert i disse plattformene og kan avsette dedikerte GRC-implementeringsteam.

B
Mid-market GRC-verktøy
Vanta, Drata, Sprinto, Scrut

Skybaserte compliance-plattformer med fokus på fart og enkelhet. Primært utviklet for SOC 2, ISO 27001 og lignende rammeverk. Noen har lagt til DORA som et rammeverksalternativ og tilknyttet kontroller til DORA-artikler. Styrker: rask onboarding, rimelig prising, god automatisering for bevisinnsamling. Svakheter: DORA-dekning er typisk et kartleggingslag fremfor formalsbyggede moduler. De mangler generelt informasjonsregisteret, ITS-hendelsesmaler, konsentrasjonsrisikoanalyse og underleverandørkjedesøring som DORA spesifikt krever. Best egnet for aktrer som trenger en generell compliance-plattform og kan supplere DORA-gap manuelt.

C
DORA-native plattformer
Formalsbygget for EU 2022/2554

Plattformer designet fra grunnen av for DORA-etterlevelse. Hvert modul samsvarer med en spesifikk pilar og artikkelrekkevidde. Datamodellen speiler DORAs egen struktur (funksjoner, eiendeler, leverandører, risikoer, kontroller, hendelser, tester). Disse plattformene inkluderer DORA-spesifikke funksjoner som ITS-format informasjonsregister med EBA-validering, hendelsesrapportering med CDR 2024/1772-klassifisering, BCP med RTO/RPO/MTPD-spøring og konsentrasjonsrisikodashbord. Styrker: dypest DORA-dekning, raskest tid til etterlevelse, regulatoriske oppdateringer innebygd. Svakheter: smalere omfang (fokusert på DORA fremfor multi-rammeverk). Best egnet for aktrer der DORA er den primære compliance-driveren.


Plattformsammenligning

DORA compliance-programvare sammenlignet

Nedenfor er en funksjon-for-funksjon-sammenligning av DORA compliance-plattformer på tvers av priser, pilardekning og nøkkelfunksjoner. Data er basert på offentlig tilgjengelig informasjon per mars 2026.

Funksjon DORA GRC Vendorica DORApp 3rdRisk / Diligent Formalize
Priser
Startpris €490/mnd ~€1.500/mnd €200/bruker/mnd Pris på forespørsel Ikke publisert
Prismodell Fast månedspris Fast månedspris Per bruker Enterprise-tilbud Demo krevd
Kostnad for 10 brukere €490/mnd ~€1.500/mnd €2.000/mnd Ikke opplyst Ikke opplyst
Implementeringskostnader Ingen Varierer Varierer Ja (enterprise) Varierer
DORA-pilardekning
Pilar 1 — IKT-styring og risiko Full Delvis Delvis Begrenset Delvis
Pilar 2 — Hendelsesrapportering Full Ja Ja Begrenset Delvis
Pilar 3 — Testing av motstandsdyktighet Full Nei Nei Nei Nei
Pilar 4 — Tredjepartstilsyn Full Ja Ja Ja Delvis
Pilar 5 — Informasjonsdeling Ja Delvis Nei Nei Nei
Nøkkelfunksjoner
CIF-funksjonsregister Ja Nei Nei Nei Nei
Forretningskonsekvensanalyse (BIA) Ja Nei Nei Nei Nei
Bowtie-risikovisualisering Ja Nei Nei Nei Nei
RoI med EBA-validering (85 regler) Ja Delvis Ja Nei Nei
XBRL / XML-eksport Ja Ja Ja Nei Nei
ITS-hendelsesmaler Ja Ja Ja Nei Nei
BCP og katastrofegjenoppretting Ja Nei Nei Nei Nei
TLPT-fasestyring Ja Nei Nei Nei Nei
134-kravs compliance tracker Ja Nei Nei Nei Delvis
360° Etterretningshub Ja Nei Nei Nei Nei
Konsentrasjonsrisikodashbord Ja Ja Delvis Ja Nei
Underleverandørkjeder Ja Delvis Nei Ja Nei
Tilleggsråmmeverk
EU Cyber Resilience Act Ja Nei Nei Nei Nei
EU AI Act Ja Nei Nei Nei Nei
Plattform
EU-datalagring Ja Ja Ja US-eid Ja
Implementeringstid 1–2 uker 4–6 uker 2–4 uker 2–6 måneder 2–4 uker
Fullstendig revisjonsspor Ja Ja Ja Ja Ja
Flerspråklig EN + NO EN EN EN + NL Flere

Sammenligning basert på offentlig tilgjengelig informasjon per mars 2026. Funksjoner og priser kan ha endret seg. Full = helhetlig, formalsbygget modul. Delvis = grunnleggende eller begrenset dekning. Nei = ikke tilgjengelig eller ikke synlig.

Hva koster DORA-programvare egentlig?

De fleste DORA compliance-leverandører skjuler prisene sine. Her er hva et compliance-team på 10 personer kan forvente å betale årlig, inkludert typiske implementeringskostnader.

DORA GRC
€5.880/år
€490/mnd × 12
Implementering: €0
År 1 totalt: €5.880
Vendorica
€18.000/år
~€1.500/mnd × 12
Implementering: varierer
År 1 totalt: €18.000+
DORApp
€24.000/år
€200/bruker × 10 × 12
Implementering: varierer
År 1 totalt: €24.000+
Enterprise GRC
€50.000+/år
ServiceNow, Archer osv.
Implementering: €20.000–100.000
År 1 totalt: €70.000+

Due diligence

Hva du bør sjekke før du kjøper

Ut over funksjonslister finnes det praktiske hensyn som avgjør om en DORA-plattform vil fungere for din organisasjon. Dette er spørsmålene compliance-teamet bør stille under evaluering.

Data EU-datalagring
Data lagres og behandles innenfor EU/EØS, uten overføring til tredjeland uten tilstrekkelige garantier
Leverandøren kan bekrefte de spesifikke datasenterlokalitetene og jurisdiksjonene som brukes for din leietaker
Underleverandører er oppgitt og EU-baserte, eller dekket av hensiktsmessige overføringsmekanismer
Fart Utrulling og onboarding
Tid fra kontraktsignering til et fungerende miljø med dine data lastet måles i dager, ikke måneder
Ingen obligatorisk konsulentengasjement eller krav om profesjonelle tjenester for å komme i gang
Dataimport fra regneark eller eksisterende verktøy støttes uten tilpasset utvikling
Kostnad Pristransparens
Priser er publisert eller tilgjengelige på forespørsel uten krav om en langvarig salgsprosess
Alle fem DORA-pilarer er inkludert i grunnprisen, ikke solgt som separate tilleggsmoduler
Ingen per-bruker-avgifter som gjør det dyrt å gi tilgang til hele compliance-teamet

Plattform

Slik passer DORA GRC inn

DORA GRC er en formalsbygget DORA compliance-plattform i kategori C-gruppen beskrevet ovenfor. Den ble designet fra starten for EU-forordning 2022/2554 og dekker alle fem pilarer i ett program. Her er hva det betyr i praksis.

Alle fem pilarer, én plattform

IKT-styring, risikostyring, hendelsesrapportering, testing av motstandsdyktighet og tredjepartstilsyn er alle innebygd. Hvert modul samsvarer med spesifikke DORA-artikler. Data flyter mellom pilarer automatisk: en eiendel kobles til sin funksjon, sin leverandør, sine risikoer og sine testresultater uten manuell krysskontroll. Se hele funksjonslisten.

Informasjonsregister med EBA-validering

RoI-modulen er strukturert etter ITS 2024/2956-skjema. En 85-regelvalideringsmotor sjekker dataene dine mot EBA-kravene før innsending. Eksporter i formatet din NCA forventer. Ingen regnearkmontasje nødvendig. Les mer om DORA Register of Information-kravene.

ITS-hendelsesrapporteringsmaler

Forhåndsutfylte hendelsesrapporter i XML og JSON med ITS 2024/2956-format. Klassifisering mot CDR 2024/1772-kriterier er automatisk. Fristene på 4 timer, 72 timer og 1 måned spores fra det øyeblikket en hendelse klassifiseres som alvorlig. Se veiledningen for hendelsesrapportering.

Operativ på dager, ikke måneder

Ingen obligatorisk konsulentengasjement. Intet seks måneders implementeringsprosjekt. DORA GRC er en skyplattform driftet i EU. Miljøet ditt klargjøres og er klart til bruk innen dager etter registrering. Priser starter på €490 per måned med ubegrensede brukere og alle pilarer inkludert. Be om en demo for å komme i gang.

Vanlige spørsmål

DORA compliance-programvare FAQ

Hva er DORA compliance-programvare?
DORA compliance-programvare er en plattform designet for å hjelpe finansinstitusjoner med å oppfylle kravene i EU-forordning 2022/2554, Digital Operational Resilience Act. Den dekker typisk de fem pilarene i DORA (IKT-styring, risikostyring, hendelsesrapportering, testing av motstandsdyktighet og tredjepartstilsyn) i ett integrert verktøy. Formalsbygget DORA-programvare inkluderer spesifikke funksjoner som informasjonsregisteret i ITS 2024/2956-format, hendelsesklassifisering mot CDR 2024/1772-kriterier og BCP-styring med RTO/RPO/MTPD-spøring som generelle GRC-verktøy ikke leverer som standard.
Hva koster DORA-programvare?
Prisnivået varierer betydelig etter plattformkategori. Enterprise GRC-suiter (ServiceNow, Archer) koster typisk €50.000 til €200.000+ per år, ofte med ytterligere implementeringskonsulenthonorar. Mid-market compliance-verktøy (Vanta, Drata) koster €200 til €2.000 per måned, men kan mangle DORA-spesifikke moduler. Formalsbyggede DORA-plattformer som DORA GRC starter på €490 per måned med alle fem pilarer inkludert og ingen per-bruker-avgifter. Den totale eierkostnaden bør inkludere implementeringstid, konsulentbehov og kostnaden ved å supplere eventuelle DORA-gap med manuelle prosesser.
Trenger jeg DORA-spesifikk programvare, eller kan jeg bruke eksisterende GRC?
Du kan bruke eksisterende GRC-programvare, men du må bygge eller konfigurere moduler for DORA-spesifikke krav. Informasjonsregisteret krever et strukturert datasett i ITS 2024/2956-format med 85+ valideringsregler. Hendelsesrapportering trenger forhåndsutfylte maler og streng fridstyring. Tredjepartstilsyn krever konsentrasjonsrisikoanalyse og kartlegging av underleverandørkjeder. Hvis ditt eksisterende GRC-verktøy ikke leverer dette innfødt, må du supplere med regneark eller tilpasset utvikling — noe som introduserer risiko og vedlikeholdsbelastning. For aktrer der DORA er den primære regulatoriske driveren, gir en formalsbygget plattform typisk raskere tid til etterlevelse og lavere løpende innsats.
Gjelder DORA i Norge?
Ja. DORA er gjennomført i norsk lov gjennom EØS-avtalen. Finanstilsynet har identifisert digital operasjonell motstandsdyktighet som en tilsynsprioritet. Norske banker, forsikringsselskaper, verdipapirforetak, betalingsinstitusjoner og andre regulerte finansinstitusjoner må etterleve DORA på samme måte som EU-foretak.
Hvorfor velge et norskbygget verktøy fremfor utenlandske alternativer?
En norskbygget plattform gir flere fordeler: norsk språkstøtte uten oversettelse, EU/EØS-datalagring uten dataoverføring til tredjeland, forståelse for nordisk regulatorisk kontekst inkludert Finanstilsynets tilsynspraksis, og ingen bekymringer om datakontroll hos utenlandske morselskaper. Under DORA Art. 28 må finansinstitusjoner også vurdere tredjepartsrisikoen ved sine egne compliance-verktøy — et norsk, EU-driftet verktøy forenkler denne vurderingen.
Hvilke funksjoner bør DORA-programvare inkludere?
Essensielle funksjoner inkluderer: et IKT-eiendelsregister med avhengighetskartlegging (Art. 8), et CIF-funksjonsregister med prosesstalldetaljer, et risikoregister koblet til kontroller og eiendeler, hendelsesklassifisering med CDR 2024/1772-kriterier og ITS-rapporteringsmaler, et informasjonsregister med EBA-validering (Art. 28(3)), en testprogramstyring (Art. 24–27), tredjepartsleverandørtilsyn med kontraktsklausulspøring (Art. 30), konsentrasjonsrisikodashbord (Art. 29), BCP og katastrofegjenopprettingsplanlegging med RTO/RPO/MTPD (Art. 11), synlighet i underleverandørkjeder, exit-strategistyring og helhetlig revisjonsspor-logging. Programvaren bør også støtte rapportering på styrenivå for å tilfredsstille Art. 5 styringskrav. Se vår DORA compliance-veiledning for en detaljert gjennomgang.