Forsikring under DORA
DORA (forordning EU 2022/2554) gjelder for forsikringsforetak og gjenforsikringsforetak med tillatelse under Solvens II-rammeverket (direktiv 2009/138/EF). Forsikringsformidlere som oppfyller visse terskler knyttet til størrelse og virksomhetens art er også omfattet. Forordningen har vært direkte gjeldende i alle EU-medlemsstater siden 17. januar 2025.
For forsikringssektoren er European Insurance and Occupational Pensions Authority (EIOPA) den relevante europeiske tilsynsmyndigheten. EIOPA bidrar til utvikling av regulatoriske tekniske standarder (RTS) og gjennomføringsstandarder (ITS) under DORA og koordinerer tilsynskonvergens på tvers av nasjonale forsikringsregulatorer. Det daglige tilsynet utøves av nasjonale tilsynsmyndigheter (NCAs), men EIOPAs veiledning former hvordan disse myndighetene tolker og håndhever forordningen for forsikringsforetak.
Virkeområdet er bredt. Livsforsikringsforetak, skadeforsikringsforetak, sammensatte foretak, gjenforsikringsforetak, captive-forsikringsforetak og forsikringsholdingselskaper med IKT-avhengig virksomhet faller alle inn under DORA. De eneste reelle unntakene er svært små forsikringsformidlere som ikke oppfyller størrelseskriteriene fastsatt i forordningen. Hvis ditt foretak har forsikrings- eller gjenforsikringstillatelse i en EU-medlemsstat, gjelder DORA for deg.
Viktige DORA-krav for forsikring
DORA er organisert rundt fem pilarer. Hver pilar gjelder for forsikringsforetak, men dybden på forpliktelsene varierer avhengig av forsikringsforetakets størrelse, art, omfang og kompleksitet. Her er hva hver pilar betyr for forsikring i praksis.
IKT-risikostyring (art. 5-16)
Forsikringsforetak må etablere og vedlikeholde et helhetlig rammeverk for IKT-risikostyring. Dette dekker identifisering av eiendeler, risikovurdering, beskyttelsestiltak, deteksjonsevner og driftskontinuitetsplanlegging. Ledelsen er direkte ansvarlig for å godkjenne rammeverket og sikre tilstrekkelige ressurser. For forsikring innebærer dette ofte å utvide eksisterende ORSA-prosesser under Solvens II til å inkludere IKT-spesifikk risikoidentifisering og -behandling.
Hendelseshåndtering og -rapportering (art. 17-23)
Forsikringsforetak må klassifisere, håndtere og rapportere alvorlige IKT-relaterte hendelser. Rapporteringstidslinjen er streng: første varsling innen 4 timer etter klassifisering, en mellomrapport innen 72 timer og en sluttrapport innen én måned. For forsikringsforetak som håndterer sensitive forsikringstakeropplysninger, overlapper dette også med GDPR-meldeplikten. Hendelser som påvirker skadebehandling, tegningsplattformer eller forsikringstaker-portaler kan alle utløse DORA-rapportering.
Digital motstandsdyktighetstesting (art. 24-27)
Alle forsikringsforetak må gjennomføre forholdsmessig motstandsdyktighetstesting, inkludert sårbarhetsvurderinger, nettverkssikkerhetsvurderinger og scenariobasert testing. Bare forsikringsforetak som er utpekt som systemviktige av sin tilsynsmyndighet, er pålagt å gjennomføre trusselbasert penetrasjonstesting (TLPT) hvert tredje år. De fleste små og mellomstore forsikringsforetak vil ikke få TLPT-krav, men må likevel opprettholde et robust testprogram i henhold til sin risikoprofil.
Tredjepartsrisikostyring for IKT (art. 28-44)
Forsikringsforetak må opprettholde et informasjonsregister som dokumenterer alle IKT-tredjepartsavtaler. Kontrakter med kritiske leverandører må inneholde obligatoriske klausuler om revisjonsrettigheter, tjenestenivåer, exit-strategier og datalagring. Forsikringsselskaper med stor avhengighet av skybaserte poliseadministrasjonssystemer, skadeplattformer eller aktuarverktøy må kartlegge disse avhengighetene nøye. Se vår veileder for tredjepartsrisikostyring for detaljer.
Informasjonsdeling (art. 45)
Forsikringsforetak kan delta i frivillige informasjonsdelingsordninger med andre finansielle enheter for å utveksle cybertrusselinformasjon. EIOPA oppfordrer forsikringsforetak til å delta i sektorspesifikke delingsinitiativer, ettersom forsikringsbransjen står overfor særegne trusler knyttet til forsikringstakeropplysninger, storskadesvindel og integritet i aktuarmodeller.
Hvordan forsikring skiller seg fra bank under DORA
Selv om DORA anvender den samme fempilarsstrukturen for både forsikring og bank, er de praktiske konsekvensene forskjellige på flere viktige måter grunnet de ulike risikoprofilene og tilsynsordningene i hver sektor.
Ulike risikoprofiler. Forsikring opererer med lengre tidshorisonter enn bank. Skadeoppgjør, polisesykluser og reserveberegninger strekker seg over måneder eller år, ikke i sanntid. Dette betyr at selv om IKT-forstyrrelser i forsikring er alvorlige, er det mindre sannsynlig at de utløser umiddelbar systemisk smitte enn en forstyrrelse hos en stor bank eller betalingsformidler. Tilsynsmyndighetene forventes å ta hensyn til dette ved anvendelse av forholdsmessighetsprinsippet.
EIOPA vs EBA/ECB-tilsyn. Banker faller under EBA og, for vesentlige institusjoner, direkte ECB-tilsyn. Forsikringsforetak faller under EIOPA-koordinering og nasjonale forsikringstilsyn. EIOPAs tilsynskultur legger vekt på forholdsmessighet og resultatbasert vurdering, noe som kan innebære en noe annen tilsynstone sammenlignet med bankregulatorer. De grunnleggende DORA-kravene forblir imidlertid de samme uavhengig av hvilken ESA som er involvert.
TLPT-sannsynlighet. Utpekingen av enheter som må gjennomføre TLPT er basert på systemviktighet, størrelse og kompleksitet. I praksis vil langt færre forsikringsforetak enn banker sannsynligvis bli utpekt for obligatorisk TLPT. Store pan-europeiske forsikringsgrupper og gjenforsikringsforetak med betydelig markedsandel er de mest aktuelle kandidatene. De fleste nasjonale og regionale forsikringsforetak vil være pålagt å gjennomføre standard motstandsdyktighetstesting, men ikke fullstendig TLPT. For en bredere sammenligning med bankkrav, se vår DORA compliance-veileder.
Ulike forholdsmessighetsgrenser. Forsikringsforetak spenner over et bredere størrelsesintervall enn banksektoren, fra store multinasjonale grupper til små gjensidige forsikringsselskaper og nisjeforetak. DORAss forholdsmessighetsbestemmelser er særlig relevante for forsikringssektoren, der mange foretak er små nok til å kvalifisere for det forenklede IKT-risikostyringsrammeverket under art. 16.
Eksisterende regulatorisk integrasjon. Forsikringsforetak opererer allerede under Solvens II, som inkluderer krav til styring, risikostyring og utkontraktering. Mange DORA-forpliktelser kan håndteres ved å utvide eksisterende Solvens II-rammeverk i stedet for å bygge nye strukturer. Banker står i en lignende situasjon med CRD/CRR og EBA-retningslinjer, men de spesifikke integrasjonspunktene er forskjellige.
Forholdsmessighet for forsikringsforetak
DORA gjelder på en forholdsmessig basis, med hensyn til enhetens størrelse, art, omfang og kompleksitet i tjenester, aktiviteter og virksomhet. For forsikringssektoren, der foretaksstørrelsene varierer enormt, er forholdsmessighet et av de viktigste konseptene i forordningen.
Forenklet IKT-risikostyring (art. 16). Forsikringsforetak som oppfyller kriteriene for forenklede krav kan anvende en lettere versjon av IKT-risikostyringsrammeverket. Dette unntar dem ikke fra DORA, men reduserer detaljeringsgraden og formaliteten i det som kreves. Kvalifiserte foretak trenger fortsatt et IKT-risikostyringsrammeverk, hendelsesrapporteringsprosesser og tredjepartstilsynsordninger, men med mindre dokumentasjonsbyrde og enklere styringsstrukturer.
Unntak for mikrobedrifter. Mikrobedrifter som definert i EU-lovgivningen (færre enn 10 ansatte, omsetning eller balansesum under 2 millioner euro) har visse unntak innenfor DORA. Små forsikringsformidlere som kvalifiserer som mikrobedrifter kan være unntatt fra noen av de mer detaljerte kravene, selv om de forblir underlagt kjerneprinsippene for IKT-risikostyring og hendelsesrapportering.
Forholdsmessighet i praksis for forsikring
En stor pan-europeisk forsikringsgruppe med milliarder i bruttopremier vil trenge et helhetlig IKT-risikostyringsrammeverk, full motstandsdyktighetstesting inkludert mulig TLPT-utpeking, et detaljert informasjonsregister og styrenivårapportering. Et lite regionalt gjensidig forsikringsselskap kan anvende det forenklede rammeverket under art. 16, gjennomføre grunnleggende sårbarhetsvurderinger i stedet for avansert testing, og opprettholde et forholdsmessig enklere tredjepartsregister. Begge er i compliance — innsatsnivået er tilpasset risikoen enheten utgjør og er utsatt for.
Hvordan finne ditt forholdsmessighetsnivå. Din nasjonale tilsynsmyndighet vil vurdere din forholdsmessighetsklassifisering basert på faktorer som totale eiendeler, bruttopremier, antall forsikringstakere, grensekryssende aktivitet, IKT-avhengighet og sammenkoblinger med andre finansielle enheter. DORA gap-analyseverktøyet kan hjelpe deg med å forstå hvor ditt foretak befinner seg på forholdsmessighetsskalaen og hvilket forpliktelsesnivå som gjelder for hver pilar.
EIOPAs tilsynsforventninger
EIOPA har aktivt formet hvordan DORA gjelder for forsikringssektoren gjennom veiledning, høringsdokumenter og koordinering med nasjonale tilsynsmyndigheter. Å forstå EIOPAs forventninger hjelper forsikringsforetak med å prioritere sine compliancetiltak.
Kvalitet på informasjonsregisteret. EIOPA har understreket at informasjonsregisteret (RoI) er et sentralt tilsynsverktøy for å forstå IKT-konsentrasjonsrisiko i forsikringssektoren. Forsikringsforetak bør forvente gransking av fullstendighet og nøyaktighet i sine RoI-innleveringer. Dette innebærer å gå utover en enkel leverandørliste til å dokumentere kritikaliteten av hvert IKT-arrangement, underleverandørkjeder, datalokasjoner og forretningsfunksjoner som støttes av hver leverandør.
Sky- og utkontrakteringsordninger. Forsikringssektoren har vært en rask bruker av skybaserte plattformer for poliseadministrasjon, skadehåndtering og aktuarmodellering. EIOPA forventer at forsikringsforetak kan demonstrere at sky-utkontrakteringsordninger oppfyller DORAss tredjepartskrav, inkludert kontraktsbestemmelser, exit-strategier og konsentrasjonsrisikovurdering. Foretak som migrerte til skyplattformer før DORA bør gjennomgå om eksisterende kontrakter oppfyller de nye obligatoriske klausulkravene.
Styring og styretilsyn. EIOPA forventer at ledelsen i forsikringsforetak er aktivt involvert i IKT-risikotilsyn, ikke bare formelt godkjenner rammeverk utarbeidet av IT-avdelingen. Dette er i tråd med DORA art. 5, som krever at ledelsen skal definere, godkjenne, overvåke og ha det endelige ansvaret for IKT-risikostyringsrammeverket. Styremedlemmer bør få regelmessig opplæring i IKT-risikotemaer og ha tilstrekkelig kompetanse til å utfordre ledelsens rapportering.
Grensekryssende koordinering. For forsikringsgrupper som opererer på tvers av flere EU-medlemsstater, koordinerer EIOPA tilsynsforventningene for å sikre konsistens. Gruppetilsynsmyndigheter forventes å vurdere IKT-risikostyring på konsolidert nivå og sikre at gruppens DORA-complianceprogram dekker alle enheter i konsernstrukturen. Dette er særlig relevant for grupper der IKT-tjenester leveres sentralt gjennom fellestjenestesentre eller en enkelt skyplattform.
For detaljert informasjon om sanksjoner og håndheving, se vår veileder om DORA-sanksjoner.
Kom i gang med DORA-compliance for forsikring
Hvis ditt forsikringsforetak ennå ikke har startet sitt DORA-complianceprogram, eller hvis du ønsker å validere og styrke eksisterende arbeid, gir følgende steg et praktisk utgangspunkt.
1. Vurder nåværende status. Start med en strukturert gap-analyse som måler din beredskap på tvers av alle fem DORA-pilarer. Den gratis DORA-vurderingen tar omtrent tre minutter og gir deg en score for IKT-risikostyring, hendelsesrapportering, motstandsdyktighetstesting, tredjepartstilsyn og informasjonsdeling. Dette gir deg en tydelig baseline og hjelper med å prioritere hvor du bør fokusere først.
2. Fastslå ditt forholdsmessighetsnivå. Forstå om ditt foretak kvalifiserer for det forenklede IKT-risikostyringsrammeverket under art. 16, og om du sannsynligvis vil bli utpekt for TLPT. Dette påvirker omfanget og kompleksiteten i hele ditt complianceprogram og bør fastsettes tidlig.
3. Bygg ditt informasjonsregister. RoI er et av EIOPAs prioriteringsområder og er ofte den mest tidkrevende leveransen. Begynn med å kartlegge alle IKT-tredjepartsavtaler, klassifisere deres kritikalitet og dokumentere kontraktsvilkår, underleverandørkjeder og datalokasjoner. DORA GRCs tredjepartshåndteringsmodul automatiserer mye av denne prosessen.
4. Integrer med Solvens II-styring. I stedet for å opprette parallelle strukturer, utvid ditt eksisterende Solvens II-styringsrammeverk til å inkorporere DORA-krav. Din ORSA-prosess, risikokomitestruktur og styreraporteringssyklus kan alle tilpasses til å inkludere IKT-risikotemaer. Dette er mer effektivt og gir bedre resultater enn å behandle DORA som et frittstående prosjekt.
5. Gjennomgå IKT-leverandørkontrakter. Gjør en revisjon av eksisterende kontrakter med kritiske IKT-leverandører mot DORAss obligatoriske klausulkrav. Identifiser mangler i revisjonsrettigheter, oppsigelsesbestemmelser, exit-strategier og tjenestenivåforpliktelser. Start reforhandlinger tidlig, ettersom kontraktsendringer med store leverandører kan ta flere måneder. For detaljert veiledning, se vår veileder for tredjepartsrisikostyring.
6. Etabler hendelsesrapporteringsprosesser. Sørg for at du har en tydelig prosess for å oppdage, klassifisere og rapportere alvorlige IKT-relaterte hendelser innenfor DORAss tidsfrister. Test denne prosessen med en skrivebordsøvelse før du trenger den i en reell hendelse. Koordiner med din nasjonale tilsynsmyndighet for å forstå deres foretrukne rapporteringskanaler og maler.
Ofte stilte spørsmål
DORA gjelder for forsikringsforetak og gjenforsikringsforetak med tillatelse under Solvens II. Den dekker også forsikringsformidlere som oppfyller visse størrelses- eller systemviktighetskriterier. Svært små forsikringsformidlere som faller under de relevante tersklene kan være unntatt fra noen forpliktelser, men forordningen gjelder bredt i forsikringssektoren. Hvis ditt foretak har forsikrings- eller gjenforsikringstillatelse i en EU-medlemsstat, gjelder DORA nesten helt sikkert for deg.
Det daglige DORA-tilsynet utøves av nasjonale tilsynsmyndigheter, vanligvis det nasjonale forsikringstilsynet. EIOPA koordinerer tilsynskonvergens på tvers av EU, utsteder retningslinjer og tekniske standarder, og deltar i tilsynet av kritiske IKT-tredjepartsleverandører som betjener forsikringssektoren. EIOPA fører ikke direkte tilsyn med individuelle forsikringsforetak, men deres veiledning former hvordan nasjonale myndigheter anvender DORA-kravene for forsikring.
Bare forsikringsforetak utpekt av sin tilsynsmyndighet som systemviktige, eller som oppfyller visse størrelses- og kompleksitetskriterier, er pålagt å gjennomføre trusselbasert penetrasjonstesting under art. 26 i DORA. De fleste små og mellomstore forsikringsforetak vil ikke være pålagt TLPT, men alle forsikringsforetak må utføre forholdsmessig digital motstandsdyktighetstesting under art. 24-25. Store pan-europeiske forsikringsgrupper og store gjenforsikringsforetak er de mest aktuelle kandidatene for TLPT-utpeking.
DORA og Solvens II er komplementære. Solvens II regulerer kapitaldekning, risikostyring og tilsynsrapportering, mens DORA legger til spesifikke krav rundt IKT-risikostyring, digital motstandsdyktighetstesting, hendelsesrapportering og tredjepartsleverandørtilsyn. Forsikringsforetak må overholde begge. EIOPA har oppfordret foretak til å integrere DORA i sine eksisterende Solvens II-rammeverk — utvide ORSA-prosesser, risikokomiteer og styrerapportering til å dekke IKT-risiko — i stedet for å bygge parallelle compliancestrukturer.