Art. 18

Klassifiseringskriterier for IKT-hendelser

Art. 18 i DORA etablerer rammeverket for klassifisering av IKT-relaterte hendelser. De detaljerte klassifiseringskriteriene er fastsatt i delegert kommisjonsforordning (CDR) 2024/1772, som definerer skillet mellom en mindre IKT-hendelse og en alvorlig hendelse som utloser obligatorisk rapportering til tilsynsmyndigheten.

Klassifiseringen baseres på flere kriterier som vurderer alvorlighetsgrad og konsekvenser. Kriteriene er utformet for å være objektive og målbare, noe som reduserer risikoen for ulik klassifiseringspraksis på tvers av sektoren.

1
Berørte kunder
CDR 2024/1772 — Konsekvenser for kunder

Antall berørte kunder er et sentralt klassifiseringskriterium. Sannsynligheten for at en hendelse klassifiseres som alvorlig øker dersom den berører mer enn 10 % av enhetens samlede kundebase, eller mer enn 100 000 kunder i absolutte tall. Både direkte berørte kunder (som opplever tjenesteavbrudd) og indirekte berørte kunder (hvis data eller transaksjoner er påvirket) telles med.

2
Tjenesteavbrudd
CDR 2024/1772 — Varighet av avbrudd

Varigheten av tjenesteavbrudd bidrar til klassifiseringen. Hendelser som medfører nedetid utover enhetens definerte toleransenivåer, eller som påvirker tjenester i mer enn 2 timer i perioder med høy aktivitet, vil lettere nå terskelen for alvorlig hendelse. Klokken starter fra tidspunktet tjenesten ble utilgjengelig eller degradert, ikke fra da hendelsen ble oppdaget.

3
Datatap eller integritetsbrudd
CDR 2024/1772 — Konsekvenser for data

Hendelser som innebærer datatap, datakorrupsjon eller uautorisert tilgang til data vektes tyngre i klassifiseringen. Sensitiviteten til de berørte dataene (personopplysninger, finansielle data, konfidensiell forretningsinformasjon), volumet av kompromitterte registreringer og hvorvidt dataene kan gjenopprettes er alle relevante faktorer. Hendelser med bekreftet datainnbrudd kan utløse parallelle rapporteringsplikter under GDPR.

4
Geografisk spredning og økonomisk påvirkning
CDR 2024/1772 — Grenseoverskridende og finansielle kriterier

Hendelser som påvirker virksomhet eller kunder i mer enn to EU-medlemsstater, eller som har økonomisk påvirkning over definerte beløpsgrenser, får ytterligere vekt i klassifiseringen. Den økonomiske påvirkningen omfatter både direkte kostnader (utbedring, bøter, kompensasjon) og indirekte kostnader (omdømmeskade, tapte inntekter). Påvirkning på kritiske eller viktige funksjoner hever også klassifiseringen.

Terskel for klassifisering: En hendelse klassifiseres som alvorlig når den når eller overskrider terskelverdier på minst to av kriteriene over, eller ett kriterium med betydelig margin. Enheter skal ha dokumenterte prosedyrer for konsistent anvendelse av disse kriteriene. Klassifiseringsbeslutningen skal dokumenteres og være etterprøvbar. For en helhetlig oversikt over DORA-samsvar, se vår komplette guide.

RTS-kriterier

Terskelverdier for alvorlige hendelser

De regulatoriske tekniske standardene som følger DORA gir spesifikke kvantitative terskelverdier som hjelper enheter med å avgjøre når en hendelse går fra å være betydelig til alvorlig. Selv om de fullstendige tabellene finnes i CDR 2024/1772, er hovedprinsippene utformet for rask anvendelse under en pågående hendelse.

Klassifiseringen må skje raskt fordi den utløser 4-timersfristen for rapportering. Det betyr at klassifiseringskriteriene og terskelverdiene må være innarbeidet i hendelsesprosedyrene dine, ikke noe du slår opp under en pågående hendelse. Teamet for hendelseshåndtering bør være trent i å anvende kriteriene og fatte en klassifiseringsbeslutning innen den første timen etter at en hendelse er oppdaget.

Enheter bør ha forhåndsberegnede referanseverdier for prosentbaserte terskler. Å vite at 10 % av kundebasen din tilsvarer et bestemt antall kunder gjør at du kan vurdere kundekonsekvensene umiddelbart, i stedet for å måtte beregne dette under press.

Dersom en hendelse i utgangspunktet ser ut til å ligge under terskelen for alvorlig, men senere forverres, må klassifiseringen revurderes. Blir hendelsen omklassifisert som alvorlig etter først å ha blitt vurdert som ikke-alvorlig, starter 4-timersfristen fra tidspunktet for omklassifiseringen. Løpende overvåking og revurdering gjennom hele hendelsesforløpet er derfor avgjørende.


Art. 19

Rapporteringsfrister

Når en hendelse er klassifisert som alvorlig, utløser DORA en strukturert rapporteringsprosess i tre faser. Fristene er strenge og løper automatisk fra klassifiseringsbeslutningen. Oversittelse av disse fristene er et brudd på regelverket som tilsynsmyndighetene vil merke seg.

Innen 4 timer etter klassifisering
Kritisk frist
Innledende varsling
Den innledende varslingen skal sendes til tilsynsmyndigheten innen 4 timer etter at enheten har klassifisert hendelsen som alvorlig, og under alle omstendigheter senest 24 timer etter at hendelsen først ble oppdaget. Rapporten gir de grunnleggende faktaene: hva som skjedde, når det skjedde, hvilke tjenester og funksjoner som er berørt, estimert antall berørte kunder og den innledende alvorlighetsvurderingen. Rotårsaksanalyse kreves ikke på dette stadiet.
Innen 72 timer etter innledende varsling
Mellomfrist
Mellomrapport
Mellomrapporten skal leveres innen 72 timer etter den innledende varslingen. Den gir et oppdatert og mer detaljert bilde: justert konsekvensvurdering, foreløpig rotårsaksanalyse, iverksatte og planlagte utbedringstiltak, oppdaterte tall for berørte kunder, og eventuelle endringer i alvorlighetsklassifiseringen. Dersom hendelsen fortsatt pågår, skal rapporten beskrive nåværende status og forventet tidslinje for løsning.
Innen 1 måned etter avsluttet hendelse
Endelig frist
Sluttrapport
Sluttrapporten skal leveres innen én måned etter at hendelsen er avsluttet. Den inneholder fullstendig rotårsaksanalyse, total konsekvensvurdering (kunder, økonomi, drift), komplett hendelsesforløp med tidslinje over handlinger, erfaringer og tiltak iverksatt for å forhindre gjentakelse. Denne rapporten inngår i enhetens revisjonsarkiv og kan danne grunnlag for tilsynsmessige oppfølgingstiltak.

ITS 2024/2956

ITS-rapporteringsmaler

Alle hendelsesrapporter som sendes til tilsynsmyndigheter skal bruke det strukturerte formatet definert i ITS 2024/2956. Det er altså ikke mulig å sende inn en friformatert e-post eller PDF. Rapporten må følge en spesifikk mal med obligatoriske felter som tilsynsmyndighetens systemer kan behandle.

ITS-malene dekker alle tre rapporteringsfaser (innledende, mellom, slutt) og inkluderer felter for hendelsesidentifikasjon, oppfylte klassifiseringskriterier, konsekvensmålinger, berørte tjenester og funksjoner, hendelsesforløp, rotårsak, utbedringstiltak og kundekommunikasjon. Formatet støtter både XML- og JSON-innsending, avhengig av tilsynsmyndighetens krav.

Å ha disse malene ferdig utfylt på forhånd er avgjørende for å overholde 4-timersfristen for den innledende varslingen. Dersom compliance-teamet ditt må sette seg inn i malformatet midt under en pågående hendelse, vil du ikke overholde fristen. Malene bør være forhåndsutfylt med faste data (enhetsopplysninger, kontaktinformasjon til tilsynsmyndigheten, standard tjenestebeskrivelser) og klare til å fylles ut med hendelsespesifikke detaljer.

DORA GRC forhåndsutfyller ITS-rapporteringsmaler direkte fra hendelsesregistreringen. Når en hendelse logges og klassifiseres, fylles den innledende varslingsmalen automatisk ut med hendelsesdetaljer, berørte eiendeler, tilknyttede funksjoner og leverandørinformasjon. Compliance-teamet gjennomgår og sender inn, i stedet for å bygge rapporten fra bunnen av.


Art. 17

Krav til prosess for hendelseshåndtering

Art. 17 krever at finansielle enheter etablerer, implementerer og vedlikeholder en dokumentert prosess for IKT-hendelseshåndtering. Det handler ikke bare om å rapportere til tilsynsmyndigheten. Kravet omfatter en strukturert tilnærming til å oppdage, klassifisere, håndtere og lære av IKT-relaterte hendelser.

Prosess Påkrevde elementer
Dokumenterte prosedyrer for å oppdage, logge og triagere IKT-hendelser, inkludert automatisert overvåking og varsling Art. 17(1)
Klassifiseringsrammeverk i samsvar med CDR 2024/1772-kriteriene, med definerte eskaleringsveier for alvorlige hendelser Art. 18
Definerte roller og ansvar for hendelseshåndtering, herunder hvem som klassifiserer, hvem som rapporterer og hvem som styrer utbedring Art. 17(2)
Kommunikasjonsprosedyrer for varsling av berørte kunder, motparter og relevante myndigheter under og etter en hendelse Art. 17(3)
Prosess for hendelsesgjennomgang som fører erfaringer tilbake i rammeverket for IKT-risikostyring og BCP-planer Art. 17(4)
Hendelsesregister som dokumenterer alle IKT-relaterte hendelser (ikke bare alvorlige), med klassifisering, konsekvenser og løsningsdetaljer Art. 17(1)

Art. 19(2)

Frivillig rapportering av vesentlige cybertrusler

I tillegg til obligatorisk hendelsesrapportering etablerer DORA en frivillig rapporteringsmekanisme for vesentlige cybertrusler under art. 19(2). Finansielle enheter kan varsle sin tilsynsmyndighet om cybertrusler de anser som vesentlige, selv om trusselen ikke resulterte i en alvorlig hendelse.

Formålet med frivillig trusselrapportering er å gi tilsynsmyndigheter og den bredere finanssektoren et mer komplett bilde av trussellandskapet. Når flere enheter rapporterer lignende trusler, kan tilsynsmyndigheten utstede sektorovergripende advarsler og veiledning. Denne kollektive etterretningsfunksjonen er en sentral del av DORAs tilnærming til systemisk motstandsdyktighet.

Frivillige trusselvarsler er ikke underlagt de samme strenge fristene som obligatoriske hendelsesrapporter, men de bør sendes inn raskt mens trusselinformasjonen fortsatt er handlingsbar. Enheten bør gi detaljer om trusselen, hvordan den ble oppdaget, hvilke kompromitteringsindikatorer som ble identifisert, og hvilke forsvarstiltak som ble iverksatt.

Selv om rapporteringen er frivillig, vil tilsynsmyndighetene sannsynligvis se positivt på aktiv deltakelse i trusselrapportering ved tilsynsgjennomganger. Det vitner om en moden tilnærming til IKT-risikostyring og et engasjement for motstandsdyktighet på tvers av sektoren. For mer om hvordan DORAs fem pilarer henger sammen, se guiden om DORA-samsvar. For å vurdere din nåværende beredskap, prøv den gratis DORA-vurderingen.


Plattform

Slik støtter DORA GRC hendelsesrapportering

DORA GRC inkluderer en komplett modul for hendelseshåndtering, designet rundt kravene i art. 17-23. Her er hva det innebærer i praksis.

CDR 2024/1772-klassifisering

Hendelsesregisteret klassifiserer hendelser etter CDR 2024/1772-kriteriene automatisk. Registrer konsekvensdata (berørte kunder, nedetid, datatap, geografisk spredning, økonomisk påvirkning), og systemet anvender klassifiseringstersklene for å avgjøre om hendelsen kvalifiserer som alvorlig. Klassifiseringen logges og tidsstemples for revisjonssporing.

Forhåndsutfylling av ITS-maler

Når en hendelse klassifiseres som alvorlig, forhåndsutfylles ITS 2024/2956-rapporteringsmalene automatisk fra hendelsesregistreringen, tilknyttede eiendeler, berørte funksjoner og leverandørdata. Eksporter i XML- eller JSON-format. Compliance-teamet gjennomgår og sender inn i stedet for å bygge rapporter fra bunnen av under tidspress.

Fristsporing

Rapporteringsfristene på 4 timer, 72 timer og 1 måned spores automatisk fra det øyeblikket hendelsen klassifiseres. Nedtellingstidtakere og varsler sikrer at teamet ditt ikke overser en frist. Systemet registrerer når hver rapport ble sendt inn, og skaper et revisjonsspor som dokumenterer overholdelse av fristene i art. 19.

Kobling på tvers av pilarer

Hendelser kobles til IKT-eiendeler, kritiske funksjoner, leverandører og risikoer. Når en hendelse logges, ser du hvilken funksjon som er berørt, hvilken leverandør som er involvert, hvilke risikoer som tidligere er identifisert, og om det finnes BCP-planer for den berørte funksjonen. Denne tverrgående synligheten er avgjørende for effektiv hendelseshåndtering og for korrekt utfylling av ITS-malene. Se alle funksjoner.

Ofte stilte spørsmål

Vanlige spørsmål om hendelsesrapportering

Hva kvalifiserer som en alvorlig IKT-hendelse under DORA?
En alvorlig IKT-hendelse under DORA klassifiseres etter kriteriene i delegert kommisjonsforordning (CDR) 2024/1772. En hendelse anses som alvorlig dersom den når eller overskrider terskelverdier på kriterier som: antall berørte kunder (over 10 % av kundebasen eller over 100 000 kunder), tjenesteavbrudd utover enhetens definerte toleransenivå, datatap eller integritetsbrist, geografisk spredning på tvers av mer enn to EU-medlemsstater, og økonomisk påvirkning over fastsatte beløpsgrenser. En hendelse må normalt bryte terskelverdier på minst to kriterier, eller ett kriterium med betydelig margin, for å bli klassifisert som alvorlig. Klassifiseringsbeslutningen må fattes raskt fordi den utløser 4-timersfristen for rapportering.
Hva er rapporteringsfristene under DORA?
DORA krever tre rapporter for alvorlige IKT-hendelser. Den innledende varslingen skal sendes til tilsynsmyndigheten innen 4 timer etter klassifisering som alvorlig, og senest 24 timer etter at hendelsen først ble oppdaget. Denne gir de grunnleggende faktaene: hva som skjedde, hvilke tjenester som er berørt og estimerte konsekvenser. Mellomrapporten følger innen 72 timer etter den innledende varslingen, med oppdaterte konsekvensdata, foreløpig rotårsaksanalyse og utbedringstiltak. Sluttrapporten skal leveres innen én måned etter at hendelsen er avsluttet, og inneholder fullstendig rotårsaksanalyse, total konsekvensvurdering, erfaringer og tiltak for å forhindre gjentakelse. Alle rapporter skal bruke ITS 2024/2956-formatet.
Hvilket format skal hendelsesrapporter ha?
Hendelsesrapporter under DORA skal leveres i det strukturerte formatet definert i gjennomføringsstandardene (ITS) 2024/2956. ITS-en spesifiserer maler med obligatoriske felter som dekker hendelsesidentifikasjon, oppfylte klassifiseringskriterier, konsekvensvurdering (kunder, tjenester, data), berørte funksjoner og eiendeler, hendelsesforløp, rotårsaksanalyse, utbedringstiltak og kundekommunikasjon. Rapporter kan leveres i XML- eller JSON-format avhengig av tilsynsmyndighetens krav. Friformaterte innleveringer (e-poster, PDF-er, egne formater) aksepteres ikke. Å ha forhåndsutfylte maler klare før en hendelse inntreffer er avgjørende for å overholde 4-timersfristen for den innledende varslingen.
Må jeg rapportere cybertrusler under DORA?
Rapportering av vesentlige cybertrusler er frivillig under art. 19(2) i DORA. Finansielle enheter kan varsle sin tilsynsmyndighet om cybertrusler de anser som vesentlige, selv om trusselen ikke resulterte i en alvorlig hendelse. Denne frivillige mekanismen bidrar til å bygge sektorovergripende trusseletterretning. Dersom en cybertrussel faktisk resulterer i en alvorlig IKT-hendelse, gjelder de ordinære obligatoriske rapporteringsfristene (4 timer innledende, 72 timer mellomrapport, 1 måned sluttrapport). Selv om det er frivillig, vil tilsynsmyndighetene sannsynligvis vurdere aktiv deltakelse i trusselrapportering positivt ved tilsynsgjennomganger, da det vitner om en moden og proaktiv tilnærming til IKT-risikostyring og bidrar til kollektiv motstandsdyktighet i finanssektoren.