Kontekst

Hvorfor banker er i søkelyset

Kredittinstitusjoner er blant de mest intensivt overvåkede enhetene under DORA. Forordningen nevner uttrykkelig banker i art. 2(1)(a), og kombinasjonen av ECBs direkte tilsyn (for signifikante institusjoner) og nasjonale tilsynsmyndigheters tilsyn (for mindre signifikante institusjoner) betyr at banker møter grundig granskning av hvert DORA-krav fra dag en.

Begrunnelsen er enkel: banker står i sentrum av finanssystemet. En alvorlig IKT-forstyrrelse hos en systemviktig bank kan forplante seg gjennom betalingssystemer, interbankmarkeder og realøkonomien. DORA adresserer denne konsentrasjonen av systemrisiko ved å kreve at banker demonstrerer at deres digitale drift kan tåle, reagere på og gjenopprette seg etter alvorlige IKT-relaterte hendelser.

For banker som allerede er underlagt EBAs retningslinjer for IKT- og sikkerhetsrisikostyring (EBA/GL/2019/04), vil mange DORA-konsepter være kjente. DORA går imidlertid lenger på flere områder: den innfører juridisk bindende tidsfrister for hendelsesrapportering, krever trusseldrevet penetrasjonstesting for signifikante institusjoner, krever et omfattende informasjonsregister over alle IKT-tredjepartsavtaler, og etablerer et direkte EU-tilsynsrammeverk for kritiske IKT-leverandører som banker er avhengige av.

Viktig: DORA er ikke valgfri, og det er ingen overgangsfrist for banker. Forordningen ble gjeldende 17. januar 2025. Tilsynsmyndigheter forventer at banker er i samsvar nå, med løpende overvåking og tilsynsgjennomganger allerede i gang. Å forstå det fullstendige DORA-samsvarslandskapet er det viktige første steget.

Krav

Hovedkrav for banker på tvers av alle fem pilarer

DORA er strukturert rundt fem pilarer, som hver har spesifikke implikasjoner for kredittinstitusjoner. Nedenfor er et bankfokusert sammendrag av hva hver pilar krever.

1

Rammeverk for IKT-risikostyring (art. 5-16)

Banker skal etablere og vedlikeholde et omfattende rammeverk for IKT-risikostyring som er forholdsmessig til deres størrelse, forretningsmodell og risikoprofil. Dette inkluderer dokumenterte retningslinjer for IKT-sikkerhet, aktivaklassifisering, tilgangskontroll, kryptering, sårbarhetshåndtering og beredskapsplanlegging. Ledelsesorganet har det endelige ansvaret for å godkjenne og føre tilsyn med rammeverket, og skal motta jevnlig rapportering om IKT-risikostatus.

2

Hendelsesrapportering (art. 17-23)

Banker skal klassifisere IKT-relaterte hendelser etter kriterier definert i RTS og sende en innledende varsling til sin nasjonale tilsynsmyndighet innen 4 timer etter klassifisering (og senest 24 timer etter oppdagelse). En mellomrapport følger innen 72 timer, og en sluttrapport innen en måned. For banker i eurosonen er ECB og den relevante nasjonale tilsynsmyndigheten primærmottakere. Banker bør integrere DORA-hendelsesrapportering i eksisterende prosesser for operasjonell risiko og krisehåndtering.

3

Digital testing av motstandsdyktighet (art. 24-27)

Alle banker skal gjennomføre grunnleggende testing av motstandsdyktighet minst årlig, inkludert sårbarhetsvurderinger, nettverkssikkerhetsgjennomganger og scenariobasert testing. Signifikante institusjoner utpekt av sin tilsynsmyndighet skal i tillegg gjennomføre trusseldrevet penetrasjonstesting (TLPT) minst hvert tredje år, ved bruk av TIBER-EU-rammeverket. TLPT skal dekke kritiske eller viktige funksjoner, og der disse er avhengige av IKT-tredjepartsleverandører, kan samlede testordninger være påkrevd.

4

Informasjonsregister og tredjepartsrisiko (art. 28-44)

Banker skal vedlikeholde et informasjonsregister som dekker alle kontraktsforhold med IKT-tredjepartsleverandører. Registeret skal følge EBAs standardiserte maler (ITS 2024/2956) og sendes til tilsynsmyndigheten minst årlig. Utover registeret skal banker gjennomføre forhåndskontroll før kontraktsinngåelse, inkludere obligatoriske kontraktsklausuler for kritiske avtaler, overvåke konsentrasjonsrisiko og ha testede exit-strategier for kritiske leverandører.

5

Informasjonsdeling (art. 45)

Banker oppfordres til å delta i frivillige ordninger for deling av informasjon om cybertrusler, indikatorer for kompromittering, og taktikker og prosedyrer brukt av trusselaktører. Selv om det ikke er obligatorisk, ser tilsynsmyndigheter positivt på aktiv deltakelse. Banker bør etablere interne prosesser for å motta, vurdere og handle på delt trusseletterretning, samtidig som konfidensialiteten ivaretas.


Forholdsmessighet

Forholdsmessighet: Hvordan DORA skalerer etter bankstørrelse

DORA anvender ikke en universell tilnærming. Art. 4 etablerer forholdsmessighetsprinsippet, som betyr at kravene kalibreres etter størrelse, art, omfang og kompleksitet av den finansielle enhetens virksomhet, samt dens samlede risikoprofil. For banker skaper dette et lagdelt landskap av forpliktelser.

Store og signifikante institusjoner står overfor hele omfanget av DORA-krav. De må gjennomføre TLPT, vedlikeholde et detaljert IKT-risikostyringsrammeverk med en dedikert IKT-risikostyringsfunksjon adskilt fra kontrollfunksjonene, gjennomføre omfattende årlige testprogrammer og sende inn et detaljert informasjonsregister. ECB forventer at signifikante institusjoner demonstrerer moden styring av IKT-risiko på styrenivå.

Mellomstore banker må oppfylle kjernekravene i DORA, men har større fleksibilitet i hvordan de implementerer dem. De kan kombinere visse styringsfunksjoner, gjennomføre testprogrammer som er forholdsmessige til deres operasjonelle kompleksitet, og dokumentere sitt IKT-risikostyringsrammeverk på et detaljnivå som gjenspeiler deres forretningsmodell.

Små og ikke-komplekse institusjoner nyter godt av et forenklet IKT-risikostyringsrammeverk i henhold til art. 16. De er unntatt fra TLPT, kan ha mindre detaljert dokumentasjon og kan benytte en lettere styringsstruktur. De må likevel overholde forpliktelsene for hendelsesrapportering, vedlikeholde et informasjonsregister og håndtere tredjepartsrisiko. Det forenklede rammeverket fritar ikke små banker fra DORA; det skalerer forpliktelsene til å matche risikoprofilen.

Hvordan fastslå din kategori

Din forholdsmessighetskategori avhenger av hvordan din tilsynsmyndighet klassifiserer din institusjon. For banker i eurosonen er ECBs klassifisering av signifikante/mindre signifikante et utgangspunkt. Utover dette påvirker faktorer som type tjenester (f.eks. betalingstjenester, depot, market-making), omfanget av grensekryssende virksomhet og din avhengighet av IKT-tredjepartsleverandører de tilsynsmessige forventningene du møter. Er du usikker på hvor du står, kan DORA-gapanalysen hjelpe deg å vurdere din nåværende posisjon.


Tilsyn

EBAs tilsynsforventninger for banker

Den europeiske banktilsynsmyndigheten (EBA) spiller en sentral rolle i DORA-implementeringen for kredittinstitusjoner. EBA har utviklet hoveddelen av de regulatoriske tekniske standardene og gjennomføringsstandardene som underbygger DORA, og koordinerer tilsynskonvergens på tvers av nasjonale tilsynsmyndigheter.

IKT-risikostyring. EBA forventer at banker vedlikeholder et IKT-risikostyringsrammeverk som er integrert i det overordnede risikostyringssystemet, ikke behandlet som en frittstående IT-funksjon. Rammeverket skal gjennomgås og oppdateres minst årlig, og ledelsesorganet må kunne demonstrere at det forstår og aktivt fører tilsyn med IKT-risiko.

TLPT-koordinering. For banker som er underlagt TLPT, samarbeider EBA med ECB og nasjonale myndigheter om koordinering av testaktiviteter. Banker må engasjere kvalifiserte leverandører av trusseletterretning og penetrasjonstesting, definere omfanget basert på kritiske eller viktige funksjoner, og dele resultater med sin tilsynsmyndighet. TIBER-EU-rammeverket gir metodikken, og banker bør forvente tilsynsmessig utfordring av omfang, dybde og utbedring av funn.

Datakvalitet i informasjonsregisteret. EBA har understreket at informasjonsregisteret ikke er en avkrysningsboks for samsvar, men et tilsynsverktøy. Tilsynsmyndigheter vil bruke registerdata til å vurdere konsentrasjonsrisiko, kartlegge avhengigheter og identifisere potensielle systemiske sårbarheter i banksektorens IKT-leverandørkjede. Banker bør investere i datakvalitet, sikre fullstendighet av leverandør- og kontraktsinformasjon, og etablere interne prosesser for å holde registeret oppdatert.

Løpende rapportering. Utover informasjonsregisteret bør banker forvente tilsynsmessig engasjement rundt hendelsestrender, testresultater, utbedringsfremdrift og konsentrasjonsrisiko hos tredjeparter. EBA utvikler ytterligere tilsynsverktøy og konvergenstiltak som vil forme hvordan tilsynsmyndigheter vurderer DORA-samsvar i banksektoren i årene fremover.


Utfordringer

Vanlige utfordringer for banker

Banker møter flere praktiske utfordringer med å oppnå og opprettholde DORA-samsvar. Å forstå disse på forhånd gjør det mulig å allokere ressurser effektivt og unngå vanlige fallgruver.

Eldre systemer og teknisk gjeld. Mange banker opererer kjernebankplattformer som er flere tiår gamle. Å ettermontere IKT-risikostyringskontroller, sårbarhetsskanning og testing av motstandsdyktighet på eldre infrastruktur er ofte mer komplekst og kostbart enn å anvende de samme kontrollene på moderne systemer. Banker bør prioritere å identifisere kritiske funksjoner som kjører på eldre plattformer og utvikle målrettede utbedrings- eller erstatningsplaner.

Komplekse tredjepartsøkosystemer. Store banker er ofte avhengige av hundrevis av IKT-leverandører, fra globale skyplattformer til nisje-fintech-tjenester. Å bygge og vedlikeholde et komplett informasjonsregister på tvers av dette økosystemet krever tverrfaglig samordning mellom innkjøp, IT, risiko og juridisk. Analyse av konsentrasjonsrisiko er spesielt utfordrende når flere forretningsområder uavhengig av hverandre kontraherer med den samme underliggende leverandøren.

Grensekryssende virksomhet. Banker som opererer på tvers av flere EU-jurisdiksjoner, må navigere potensielt ulike tilsynsforventninger fra hver nasjonal tilsynsmyndighet, selv om DORA er en direkte gjeldende forordning. Kanaler for hendelsesrapportering, TLPT-koordinering og innsending av informasjonsregisteret kan variere mellom jurisdiksjoner. Konsern med datterselskaper i flere land trenger et konsistent konsernomfattende DORA-rammeverk som kan tilpasses lokale krav.

Integrasjon med eksisterende regelverk. Banker er allerede underlagt CRD/CRR, Basel-rammeverket, PSD2, GDPR og i noen tilfeller sektorspesifikke retningslinjer for utkontraktering. DORA legger til enda et lag med krav som må integreres fremfor å plasseres i silo. Utfordringen er å unngå duplisering av styringsstrukturer og rapportering, samtidig som DORA-spesifikke forpliktelser oppfylles fullt ut.

Styreinnsikt. DORA legger uttrykkelig ansvar på ledelsesorganet for tilsyn med IKT-risiko. I praksis har mange bankstyrer begrenset teknisk kompetanse innen IKT-risiko. Banker må investere i styreopplæring, utvikle meningsfull IKT-risikorapportering som oversetter tekniske detaljer til strategisk risikospråk, og sikre at styringsordningene oppfyller DORAs forventninger til aktiv styreinvolvering.


Neste steg

Kom i gang med DORA-samsvar

Enten din bank nettopp har startet sitt DORA-program eller forbedrer et eksisterende, vil en strukturert tilnærming hjelpe deg å oppnå samsvar effektivt og demonstrere beredskap overfor tilsynsmyndighetene.

1. Vurder din nåværende posisjon. Start med en gapanalyse som kartlegger dine eksisterende kontroller, retningslinjer og prosesser mot hvert DORA-krav. Det gratis DORA-vurderingsverktøyet gir en strukturert vurdering på tvers av alle fem pilarer og genererer en handlingsrettet rapport som viser hvor du står og hva som krever oppmerksomhet.

2. Prioriter etter risiko og tilsynsforventning. Ikke alle gap er like viktige. Fokuser først på områder der tilsynsmyndigheten mest sannsynlig vil utfordre deg: beredskap for hendelsesrapportering, fullstendighet i informasjonsregisteret og tilstrekkeligheten av ditt IKT-risikostyringsrammeverk. DORA-sjekklisten kan hjelpe deg strukturere din utbedringsplan.

3. Bygg ditt informasjonsregister. Informasjonsregisteret er både et samsvarkrav og et praktisk verktøy for å håndtere tredjepartsrisiko. Start tidlig, bruk EBAs standardiserte maler, og etabler en prosess for løpende vedlikehold. Dette er et av de mest dataintensive DORA-kravene, og banker som venter, sliter ofte med å rekke innleveringsfristen.

4. Integrer DORA i eksisterende styring. Unngå å opprette et frittstående DORA-program som dupliserer eksisterende risikostyrings- og styringsstrukturer. Utvid heller ditt nåværende rammeverk for operasjonell risiko, utkontraktering og beredskap til å inkludere DORA-spesifikke krav. Denne tilnærmingen er mer bærekraftig og samsvarer med tilsynsforventningene.

5. Utforsk verktøy som støtter dine forpliktelser. DORA-samsvar innebærer løpende datahåndtering, rapportering og overvåking på tvers av alle fem pilarer. DORA GRC er spesialbygget for dette og dekker alt fra IKT-risikostyring og hendelsessporing til informasjonsregister og styrerrapportering. Utforsk plattformens funksjoner for å se hvordan den passer din institusjons behov.


FAQ

Ofte stilte spørsmål

Ja. DORA gjelder for alle kredittinstitusjoner med tillatelse i EU, uavhengig av størrelse. Art. 2(1)(a) i forordning (EU) 2022/2554 inkluderer uttrykkelig kredittinstitusjoner som definert i art. 4(1)(1) i forordning (EU) 575/2013. Kravenes omfang varierer imidlertid etter forholdsmessighetsprinsippet (art. 4), som betyr at mindre og enklere banker har forenklede forpliktelser innen IKT-risikostyringsdokumentasjon, testomfang og styringsordninger.

Bare banker som er identifisert av sin tilsynsmyndighet som signifikante institusjoner, er pålagt å gjennomføre trusseldrevet penetrasjonstesting i henhold til art. 26-27 i DORA. Dette dekker typisk banker utpekt som signifikante av ECB under den felles tilsynsmekanismen, samt andre institusjoner som nasjonale tilsynsmyndigheter anser som systemviktige. TLPT skal gjennomføres minst hvert tredje år ved bruk av TIBER-EU-rammeverket eller en tilsvarende nasjonal ordning.

Informasjonsregisteret er en strukturert oversikt over alle kontraktsforhold med IKT-tredjepartsleverandører, påkrevd i henhold til art. 28(3) i DORA. Banker skal vedlikeholde registeret løpende og sende det til sin nasjonale tilsynsmyndighet på forespørsel og minst årlig. EBA har publisert standardiserte maler (ITS 2024/2956) som definerer datafelt, formater og valideringsregler. Registeret dekker alle IKT-tjenester, men detaljnivået er høyere for avtaler som støtter kritiske eller viktige funksjoner.

DORA utfyller snarere enn erstatter eksisterende tilsynskrav for banker. CRD VI og CRR inneholder allerede bestemmelser om operasjonell risiko, og EBAs retningslinjer for IKT- og sikkerhetsrisikostyring har vært referanse for banker i flere år. DORA bygger videre på dette grunnlaget med mer detaljerte krav spesifikt for digital operasjonell motstandsdyktighet. Banker bør integrere DORA i sine eksisterende risikosstyrings- og styringsrammeverk, og sikre samordnet håndtering av overlappende områder som operasjonell risikokapital, beredskap og utkontraktering.