Kom i gang

Hvor begynner du med DORA-implementering?

Digital Operational Resilience Act (EU 2022/2554) har vært gjeldende for alle finansielle enheter i scope siden 17. januar 2025. Regulatoriske tekniske standarder (RTS) og gjennomføringstekniske standarder (ITS) gir nå detaljerte krav på tvers av alle fem DORA-pilarer. Virksomheter som ennå ikke har startet implementeringsprogrammet sitt, må handle nå; de som allerede er i gang, må validere tilnærmingen sin mot de endelige standardene.

Uansett hvor dere er i prosessen, forhindrer et strukturert implementeringsveikart bortkastet innsats, sikrer at ingenting faller mellom to stoler, og gir ledelsen den synligheten de trenger. Tilnærmingen nedenfor er organisert i fem faser som kan tilpasses organisasjonens størrelse, kompleksitet og eksisterende modenhet. For en overordnet oversikt over hva DORA krever, se vår guide til DORA-samsvar.

Start med en gapanalyse. Før dere tildeler budsjett eller setter opp arbeidsstrømmer, trenger dere et klart bilde av hvor dere står i dag. En gapanalyse kartlegger eksisterende kontroller mot alle DORA-artikler og identifiserer nøyaktig hva som må endres. Ta vår gratis vurdering med 25 spørsmål for å få en første score på tvers av alle fem pilarer.

Fase 1 — Uke 1–4

Fase 1: Kartlegging og gapanalyse

Den første fasen etablerer grunnlinjen deres. Dere kan ikke bygge en effektiv implementeringsplan uten å forstå nåsituasjonen i detalj. Denne fasen tar vanligvis to til fire uker, avhengig av organisasjonens kompleksitet.

Kartlegg eksisterende kontroller mot DORA-artikler. Gå gjennom hver av DORAs fem pilarer — IKT-risikostyring (art. 5-16), hendelseshåndtering og rapportering (art. 17-23), testing av digital motstandsdyktighet (art. 24-27), tredjepartsrisikostyring for IKT (art. 28-44) og informasjonsdeling (art. 45) — og dokumenter hvor eksisterende praksis allerede oppfyller kravene. Inkluder støttende RTS og ITS i kartleggingen.

Identifiser gap og prioriter etter risiko. For hvert krav der det finnes et gap, vurder risikonivået basert på regulatorisk alvorlighetsgrad, sannsynligheten for tilsynsmessig oppmerksomhet og potensiell forretningspåvirkning hvis gapet utnyttes. Denne risikobaserte prioriteringen styrer rekkefølgen i implementeringsplanen. Bruk DORA-sjekklisten for samsvar som en strukturert referanse.

Involver interessenter tidlig. Identifiser de interne funksjonene som vil være involvert: IKT-risiko, informasjonssikkerhet, juridisk, innkjøp, internrevisjon og ledelsen. Sikre forankring på toppnivå og etabler en styringsstruktur for implementeringsprosjektet. DORA krever at ledelsen har ansvar (art. 5), så styreengasjement fra dag én er ikke valgfritt.

Leveranser: Gapanalyserapport, risikobasert utbedringsplan, interessentkart, prosjektstyringsstruktur, første budsjettestimat.


Fase 2 — Måned 2–3

Fase 2: Styring og rammeverkdesign

Med gapene identifisert fokuserer den andre fasen på å bygge styringsstrukturene og policyrammeverket som alt annet avhenger av. Dette er fundamentet som gjør de påfølgende implementeringsfasene sammenhengende i stedet for ad hoc.

Etabler IKT-risikostyringsrammeverket. DORA art. 6 krever et omfattende IKT-risikostyringsrammeverk som dekker identifikasjon, beskyttelse, deteksjon, respons og gjenoppretting. Design eller oppdater rammeverket for å oppfylle disse kravene, og inkorporer de detaljerte bestemmelsene i RTS om IKT-risikostyring (delegert forordning 2024/1774). Har dere allerede et ISO 27001- eller NIST-basert rammeverk, kartlegg det mot DORA og fyll gapene i stedet for å starte fra bunnen.

Definer roller og ansvar. Tilordne tydelig eierskap for hver DORA-arbeidsstrøm. Bestem hvem som er ansvarlig for å vedlikeholde Register of Information, hvem som håndterer klassifisering og rapportering av hendelser, hvem som overvåker motstandsdyktighetstesting, og hvem som følger opp tredjepartsrisiko for IKT. DORA krever en dedikert IKT-risikostyringsfunksjon (art. 6(4)) med tilstrekkelig myndighet, uavhengighet og ressurser.

Sikre forankring på styrenivå. I henhold til art. 5 skal ledelsen definere, godkjenne og føre tilsyn med IKT-risikostyringsrammeverket. Etabler en fast rapporteringskadens fra implementeringsprosjektet til styret, og sørg for at styremedlemmer forstår sitt personlige ansvar under DORA. Planlegg for de løpende opplæringskravene som art. 5(4) pålegger.

Utarbeid kjernepolicyer og prosedyrer. Utvikle eller oppdater IKT-sikkerhetspolicyer, prosedyrer for hendelseshåndtering, policyer for virksomhetskontinuitet, policyer for tredjepartsrisikostyring og testpolicyer. Disse dokumentene danner ryggraden i samsvarsbevisene deres og vil være blant det første tilsynsmyndigheten ber om.

Leveranser: Oppdatert IKT-risikostyringsrammeverk, RACI-matrise, rapporteringsmal for styret, kjernepolicyer, opplæringsplan for ledelsen.


Fase 3 — Måned 3–8

Fase 3: Implementering

Dette er den lengste og mest ressurskrevende fasen. Den innebærer å sette rammeverket ut i praksis på tvers av alle fem DORA-pilarer samtidig. Prioriter basert på risikovurderingen fra fase 1, men sørg for at alle arbeidsstrømmer går parallelt.

Bygg opp Register of Information. Register of Information (art. 28(3)) er et fullstendig register over alle IKT-tredjepartsavtaler. Det skal vedlikeholdes på enhets-, delkonsolidert og konsolidert nivå. Identifiser alle IKT-tjenesteleverandører, klassifiser avtaler etter kritikalitet, og fyll ut registeret i henhold til ITS-malene (ITS 2024/2956). Dette er ofte en av de mest tidkrevende arbeidsstrømmene på grunn av antallet avtaler og datamengden som kreves for hver.

Implementer hendelsesrapporteringsprosessen. Design og operasjonaliser arbeidsflyten for klassifisering, eskalering og rapportering av større IKT-relaterte hendelser. DORA krever en førstevarsel innen 4 timer etter klassifisering, en mellomrapport innen 72 timer og en sluttrapport innen én måned. Bygg de interne prosessene, malene og kommunikasjonskanalene som trengs for å overholde disse fristene konsekvent. Test arbeidsflyten med table-top-øvelser før den tas i bruk.

Gjennomgå og utbedre tredjepartskontrakter. DORA art. 30 foreskriver spesifikke kontraktsbestemmelser som skal være inkludert i alle IKT-tjenesteavtaler, med tilleggskrav for avtaler som støtter kritiske eller viktige funksjoner. Gjennomgå eksisterende kontrakter, identifiser gap og forhandle endringer eller tillegg. Denne prosessen tar tid — sett av budsjett for flere forhandlingsrunder med sentrale leverandører. For veiledning om spesifikke klausuler, se vår guide til tredjepartsrisikostyring.

Etabler virksomhetskontinuitet og katastrofegjenoppretting. DORA art. 11-12 krever omfattende IKT-styring av virksomhetskontinuitet, inkludert konsekvensanalyser, gjenopprettingsplaner og regelmessig testing. Utvikle eller oppdater BCP og DRP for å håndtere IKT-spesifikke scenarier, inkludert svikt hos kritisk leverandør, løsepengevirus og tap av datasenter.

Start testprogrammet. Begynn planleggingen av programmet for testing av digital operasjonell motstandsdyktighet. Art. 24-25 krever årlig testing av alle kritiske IKT-systemer ved hjelp av metoder som sårbarhetsvurderinger, nettverkssikkerhetsgjennomganger, scenariobasert testing og ytelsestesting. Hvis virksomheten er utpekt for TLPT (art. 26-27), begynn dialogen med NCA og identifiser kvalifiserte leverandører av trusselinformasjon og red team-tjenester.

Leveranser: Utfylt Register of Information, arbeidsflyt og maler for hendelsesrapportering, utbedrede tredjepartskontrakter, oppdatert BCP/DRP, testprogramplan og første testresultater.


Fase 4 — Måned 8–10

Fase 4: Testing og validering

Før implementeringen erklæres ferdig, validerer denne fasen at alt fungerer som designet. Den oppfyller også testkravene som DORA pålegger som en løpende forpliktelse.

Utfør sårbarhetsvurderinger. Gjennomfør omfattende sårbarhetsvurderinger av alle kritiske IKT-systemer og infrastruktur. Dokumenter funn, prioriter utbedring etter risiko og følg opp lukking. Disse vurderingene danner grunnlaget for den løpende årlige testsyklusen under art. 25.

Kjør scenariobasert testing. Test prosessene for hendelseshåndtering, planene for virksomhetskontinuitet og prosedyrene for katastrofegjenoppretting med realistiske scenarier. Inkluder scenarier som involverer svikt hos kritisk tredjepartsleverandør, løsepengevirusangrep og hendelser med dataintegritet. Dokumenter resultatene og mat lærdommene tilbake i rammeverket og prosedyrene.

Planlegg TLPT (for utpekte virksomheter). Hvis virksomheten er utpekt for trusselbasert penetrasjonstesting under art. 26, ta kontakt med NCA for å avtale omfang og metodikk. TLPT må følge TIBER-EU-rammeverket og gjennomføres av kvalifiserte eksterne testere. Den første TLPT-syklusen kan ta 6-12 måneder fra omfangsavklaring til ferdigstillelse, så tidlig planlegging er essensielt selv om selve testen faller utenfor den første implementeringstidslinjen.

Test Register of Information. Valider fullstendigheten og nøyaktigheten av Register of Information ved å kryssreferere med innkjøpsdata, fakturaer og operasjonelle avhengigheter. Bekreft at alle påkrevde felt i ITS-malene er utfylt og at dataene er oppdaterte. Forbered første regulatoriske innlevering.

Gjennomfør internrevisjonsgjennomgang. Engasjer internrevisjonen for en uavhengig vurdering av DORA-samsvarsprogrammet. Denne gjennomgangen bør dekke alle fem pilarer og identifisere eventuelle gjenstående gap før eksternt tilsyn. Lukk funn før dere går videre til fase 5.

Leveranser: Sårbarhetsvurderingsrapporter, resultater og lærdommer fra scenariotesting, TLPT-plan (hvis aktuelt), validert Register of Information, internrevisjonsrapport og utbedringslogg.


Fase 5 — Løpende

Fase 5: Løpende samsvar

DORA-samsvar er ikke et engangsprosjekt. Når den første implementeringen er fullført, går dere over til en modell for kontinuerlig samsvar som vedlikeholder, overvåker og forbedrer den operasjonelle motstandsdyktigheten over tid.

Årlig innlevering av Register of Information. Vedlikehold og oppdater Register of Information løpende, og lever det til NCA når påkrevd. Nye IKT-avtaler, endringer i eksisterende avtaler eller oppsigelser må reflekteres umiddelbart. Registeret er et levende dokument, ikke en årlig øvelse.

Kontinuerlig overvåking og risikovurdering. IKT-risikostyring er en løpende syklus. Overvåk trusselbildet, oppdater risikovurderinger når forholdene endres, følg med på nye sårbarheter, og sørg for at kontrollene forblir effektive. DORA art. 8-10 krever kontinuerlig identifikasjon og klassifisering av IKT-eiendeler, risikovurdering og overvåking.

Regulatoriske oppdateringer og veiledning. DORA-regelverket fortsetter å utvikle seg. ESA-ene utgir veiledning, nasjonale tilsynsmyndigheter publiserer forventninger, og tekniske standarder kan bli oppdatert. Bygg en prosess for å overvåke regulatoriske utviklinger og vurdere deres påvirkning på samsvarsprogrammet.

Rapportering til styret. Gi regelmessige rapporter til ledelsen om status for IKT-risiko, hendelsestrender, testresultater, tredjepartsrisiko og overordnet DORA-samsvar. Art. 5 krever at ledelsen holder seg aktivt informert og utøver løpende tilsyn. Bruk et standardisert rapporteringsformat som utvikles i takt med programmets modenhet.

Revisjonsberedskap. Hold samsvarsbevisene i en tilstand av kontinuerlig beredskap. Tilsynsundersøkelser kan komme når som helst, og evnen til raskt å fremlegge dokumentasjon, testresultater og risikovurderinger demonstrerer programmets modenhet. En godt organisert GRC-plattform er den mest effektive måten å håndtere dette på.


Tidslinje

Viktige DORA-milepæler 2025–2026

Følgende datoer markerer de viktigste regulatoriske milepælene som bør forankre implementeringsplanleggingen og den løpende samsvarskalenderen.

Dato Milepæl Påkrevd handling
Jan 2025 DORA trår i kraft Alle finansielle enheter i scope må oppfylle DORA-kravene. RTS og ITS gjelder.
Apr 2025 Første innlevering av Register of Information Lever det fullførte registeret til NCA i henhold til ITS-malene. Sørg for at alle IKT-avtaler er dokumentert.
Nov 2025 CTPP-utpekingsliste publiseres ESA-ene publiserer listen over kritiske IKT-tredjepartsleverandører. Sjekk om noen av leverandørene deres er utpekt, og vurder konsekvensene for tilsynsordningene.
Jan 2026 Europakommisjonens gjennomgang Kommisjonen gjennomgår DORA-anvendelsen og kan foreslå endringer. Følg med på eventuelle endringer som kan påvirke samsvarsprogrammet.
Mar 2026 Andre RoI-innleveringssyklus Oppdater og lever Register of Information med eventuelle endringer siden første innlevering. Valider datakomplettheten og nøyaktigheten.

Plattform

Hvordan DORA GRC støtter hver fase

DORA GRC er bygget rundt forordningens fem-pilar-struktur, noe som betyr at plattformen kartlegger direkte mot implementeringsfasene beskrevet ovenfor. I stedet for å sette sammen regneark og punktløsninger, får dere étt miljø som vokser med programmet.

1

Kartlegging og gapanalyse

Det gratis gapanalyseverktøyet gir en umiddelbar score på tvers av alle fem pilarer. Fullversjonen inkluderer detaljert artikkel-for-artikkel samsvarsoppfølging med vedlegg og statusadministrasjon.

2

Styring og rammeverk

Innebygde policymaler, dashbord for styrerapportering, rollebasert tilgangsstyring og fullstendig revisjonslogg gir den styringsinfrastrukturen rammeverket trenger fra dag én.

3

Implementering

Register of Information-modulen følger de offisielle ITS-malene. Arbeidsflyter for hendelseshåndtering dekker klassifisering, eskalering og rapporteringsfrister. Tredjepartskontraktoppfølging sikrer at obligatoriske klausuler er på plass. Se alle funksjoner.

4

Testing og validering

Spor testaktiviteter, dokumenter resultater, håndter utbedringsoppgaver og hold et komplett revisjonsspor av testprogrammet for motstandsdyktighet. TLPT-planlegging og -oppfølging støttes for utpekte virksomheter.

5

Løpende samsvar

Dashbord for kontinuerlig samsvar, automatiske varsler om regulatoriske endringer, planlagte styrerapporter og alltid-klare revisjonsbeviser sikrer at programmet holder seg oppdatert uten manuelt arbeid.


FAQ

Ofte stilte spørsmål

Et typisk DORA-implementeringsprosjekt tar 8 til 12 måneder fra første gapanalyse til operativt samsvar. Den eksakte tidslinjen avhenger av organisasjonens størrelse, modenheten i eksisterende IKT-risikostyringspraksis og antallet tredjepartsavtaler i scope. Virksomheter som allerede har et solid ISO 27001-rammeverk på plass kan ofte akselerere prosessen, mens de som starter fra bunnen bør planlegge med nærmere 12 måneder. Nøkkelen er å starte med en strukturert gapanalyse og prioritere områdene med høyest risiko først.

Første steg er en omfattende gapanalyse som kartlegger dagens IKT-risikostyringspraksis, hendelsesrapporteringsprosesser, testordninger og tredjepartskontrakter opp mot alle DORA-artikler og tilhørende RTS/ITS-krav. Denne vurderingen identifiserer hvor dere allerede oppfyller kravene, hvor det finnes gap, og hvilke gap som utgør høyest risiko. Resultatet av gapanalysen bør danne grunnlaget for implementeringsprosjektplanen, med klare prioriteringer, tidslinjer og ressurstilordning for hvert arbeidsområde. Vår sjekkliste for samsvar gir et nyttig utgangspunkt.

Ja, i stor grad. DORAs krav til IKT-risikostyring (art. 5-16) overlapper betydelig med ISO 27001-kontroller, særlig innen risikovurdering, tilgangsstyring, endringshåndtering og virksomhetskontinuitet. Virksomheter med ISO 27001-sertifisering kan kartlegge eksisterende kontroller mot DORA-artikler og fokusere implementeringsinnsatsen på områdene der DORA går lenger — særlig Register of Information, obligatoriske kontraktsklausuler for IKT-leverandører, spesifikke tidsfrister for hendelsesrapportering og trusselbasert penetrasjonstesting. Et ISO 27001-fundament kan redusere DORA-implementeringstiden betydelig.

Et DORA-implementeringsprosjekt krever typisk en dedikert prosjektleder, involvering fra IKT-risikostyring, informasjonssikkerhet, juridisk avdeling (for tredjepartskontrakter), internrevisjon og forankring på ledelsesnivå. Mindre virksomheter kan kombinere flere av disse rollene. Prosjektet trenger også budsjett for eventuelle teknologigap (som en GRC-plattform, verktøy for sårbarhetsskanning eller en Register of Information-løsning), mulig ekstern rådgivning for TLPT eller spesialistområder, og løpende ressurstildeling for de kontinuerlige samsvarsaktivitetene etter den første implementeringen.