Alle 4 DORA-pilarer · EU-forordning 2022/2554

Alle moduler.
Én plattform.

Her er hva DORA GRC inneholder — alle moduler på tvers av de fire pilarene, med skjermbilder som viser hvordan det ser ut i praksis. Ingen demo-samtaler nødvendig.

Oversikt

DORA Compliance Dashboard

Når du logger inn ser du compliance-status, åpne risikoer, aktive hendelser og testgap – alt på én skjerm. En onboarding-sjekkliste hjelper deg i gang med de første stegene.

DORA GRC — Compliance Dashboard
Overview
Dashboard
Pilar 1
Governance
CIF Register
Assets
Pilar 2
Risk Register
Incidents
Pilar 3
🔬Testing
Pilar 4
Providers
// overview
DORA Compliance Dashboard
Live compliance status across all four DORA pillars
Overall Score
73%
All pillars weighted
High/Critical Risks
4
Require attention
ICT Assets
31
Registered
Open Incidents
2
Under management
Tests Passed
8
Past 12 months
Pillar Compliance Progress All pillars
① Governance
82%
② Risk
68%
③ Testing
55%
④ Third Party
71%
1
🏛

Styring og IKT-risikorammeverk

Tildel roller, bygg trebelt policyhierarki, registrer kritiske funksjoner og spor aktiva. 7 moduler som dekker Art. 5–9.

Art. 5–6CIFBIARTS 2024/1774
2
⚠️

Risikostyring og hendelsesrapportering

Risikoregister, trusselsenarier, bowtie-analyse, kontrollbibliotek og fullstendig hendelseslivssyklus fra første innlogging til regulatorisk rapport.

Art. 9–19ISO 27005BowtieITS 2024/2956
3
🔬

Testing av digital operasjonell motstandsdyktighet

Dekningsmatrisen viser hvilke CIF-funksjoner som er testet og hvilke har gap. Separat TLPT-modul for enheter som må gjennomføre TLPT.

Art. 24–25TLPTTIBER-EUDekningsmatrise
4
🔗

IKT-risiko og tilsyn av tredjeparter

Spor leverandører, sjekk kontrakter, marker konsentrasjonsrisiko, send due diligence-spørreskjemaer og eksporter Register of Information.

Art. 28–30CTPPROI / ITSXBRL
Pilar 1 · Art. 5–9 · RTS 2024/1774

Styring og IKT-risikorammeverk

Syv moduler som dekker styringsroller, IKT-policystruktur, klassifisering av kritiske funksjoner, aktivainventar, forretningskonsekvenser og compliance-rapportering.

Governance Register · Art. 5
// Art. 5 · Management Body
Governance Register
RoleNameDORA Art.ReviewStatus
CISOE. LarsenArt. 5(2)(a)2025-03-01Active
CIOM. BjørnsenArt. 5(2)(b)2025-03-01Active
DPOA. StrandArt. 5(2)(c)2025-06-15Review Due
ICT Risk OfficerK. DahlArt. 5(2)(f)2025-03-15Active
Board Member (ICT)P. EriksenArt. 5(2)(j)2025-09-01New
Styringsroller

Roller og ansvar

Knytt hver Art. 5-forpliktelse til en navngitt person med en gjennomgangsdato. Forfallne gjennomganger flagges på dashboardet – du oppdager det før en revisor gjør det.

  • Navngitt ansvar per DORA Art. 5(2)-krav
  • Sporing av gjennomgangsdato med varsler om forsinkelse
  • DORA-artikkelreferanse per rolle
  • Eksport for styredokumenter
IKT-risikorammeverk

Policyhierarki på tre nivåer

DORA og RTS 2024/1774 krever tre nivåer IKT-dokumentasjon. Modulen viser hva som er på plass, hva som er godkjent og hva som mangler – inkludert en dekningsgrad du kan vise til revisorer.

  • Nivå 1 Retningslinjer (Styre), Nivå 2 Veiledninger (Ledelse), Nivå 3 Rutiner (Eiere)
  • Dekningsgrad per dokumentnivå
  • Eier og godkjenningsstatus
  • Knyttet til RTS 2024/1774-artikkelreferanser
ICT Risk Framework · RTS 2024/1774
Level 1 — Policy
Level 2 — Guidelines
Level 3 — Routines
Overall Completeness
78%
14 approved4 gaps
DocumentLevelOwnerStatus
ICT Risk PolicyL1BoardApproved
Cybersecurity GuidelinesL2CISOApproved
Patch Management RoutineL3Ops LeadIn Review
Incident Response ProcedureL3SOC LeadGap
CIF Register · Art. 3(22)
Total Functions
12
Critical
5
Important
7
Outsourced
8
FunctionCriticalityProviderOutsourcedRTO
Core BankingCriticalFIS GlobalYes4h
Payment ProcessingCriticalNets A/SYes2h
KYC/AML EngineImportantInternalNo8h
Customer PortalImportantAWSYes1h
Market Data FeedCriticalBloombergYes30m
CIF-register · Art. 3(22)

Kritiske og viktige funksjoner

Når du klassifiserer funksjoner som kritiske eller viktige, kobles testgap, leverandørkrav og alvorlighetskriterier for hendelser automatisk til dem. Du registrerer det én gang – resten henger sammen av seg selv.

  • Kritikalitetsnivå med RTO/RPO per funksjon
  • Outsourcede funksjoner flagget for Art. 30-forpliktelser
  • Leverandørlenker mates direkte inn i Pilar 4
  • Avhengighetskart for å visualisere funksjonskjeder
  • Forretningskonsekvensskår utledet fra CIF-nivå
Pilar 2 · Art. 9–23 · ISO 27005

Risikostyring og hendelsesrapportering

Ni moduler som dekker risikovurdering, trusselsenarier, kontroller, varmekart, bowtie-analyse og fullstendig hendelseslivssyklus.

Risk Register · Art. 9–10
Critical
2
High
4
Medium/Low
11
Risk IDDescriptionScoreTreatmentDecision
R-001Ransomware — core banking20 CritMitigate⚠ Exceeds
R-002Cloud outage — customer portal15 HighTransfer✓ Within
R-003Insider threat — privileged access16 CritMitigate⚠ Exceeds
R-004API key exposure12 HighMitigate✓ Within
Risk Heatmap · 5×5 Matrix
Impact →
Likelihood →
R-001
R-002
R-003
R-004
Low Medium High Critical
Risikoregisterfunksjoner
  • 6-trinns veiledet vurderingsveiviser (ISO 27005 / NIST SP 800-30)
  • Iboende vs. residuell skoring med risikoappetittsammenligning
  • Batch CSV-eksport for revisorer
Bowtie-analyse

Bowtie-risikoanalyse

Hvert risiko kan ha et Bowtie-diagram: trusler til venstre, konsekvenser til høyre og kontrollene mellom dem. Nyttig for å forklare komplekse risikosenarier til et styre.

  • Trusler → Forebyggende kontroller → Risiko → Gjenopprettingskontroller → Konsekvenser
  • Koblet til risikoregister og kontrollbibliotek
  • Kontrolleffektivitetsskoring per barriere
  • Eskaleringsvei kartlagt visuelt
Bowtie Analysis · R-001
RISK EVENT: Ransomware — Core Banking System
🎯 Phishing email
P
🔑 Cred stuffing
P
💾 Supply chain
P
💥
Ransomware Encryption
R-001 · Critical
R
📉 Service outage
R
💸 Financial loss
R
📋 DORA reporting
P Preventive barrier R Recovery control
Incident Register · Art. 17–23
Major
1
Significant
1
Resolved
14
Reported
3
INC-2025-007 — Payment processing disruption (240 min)
2025-02-18 · Major · Initial Report Sent · RCA Pending
INC-2025-006 — API authentication bypass attempt
2025-02-09 · Significant · Contained · 4.2h MTTR
INC-2025-005 — MFA service degradation
2025-01-31 · Minor · Resolved · 1.1h MTTR
Hendelsesregister · Art. 17

Hendelsesrapportering

Klassifiseringsveiviseren vurderer hendelsen mot Art. 18-kriteriene og avgjør om den er stor, betydelig eller mindre. Store hendelser utløser rapporteringsprosessen med de riktige ITS 2024/2956-malene.

  • Automatisk klassifisering med DORA Art. 18-kriterier
  • Innledende / mellomliggende / endelige rapportmaler
  • MTTR og MTBF-statistikk per hendelsestype
  • Rotaårsak og korrektiv handlingssporing
  • Regulatorisk rapporteringsstatus sporet per hendelse
Pilar 3 · Art. 24–27

Testing av digital operasjonell motstandsdyktighet

To moduler. Testprogrammet henter CIF-funksjoner og sporer hvilke testtyper som er kjørt de siste 12 månedene – gap vises automatisk. TLPT-modulen sporer en femfase-livssyklus.

Testing Programme · Art. 24–25
Tests Done
8
In Progress
3
Findings Open
5
CIF Coverage
67%
Total
14
CIF Function DekningsmatriseArt. 24(1) — annual obligation
CIF Function Vuln ScanOpen-srcPen TestScen TestBCPDRTLPT
Core Banking !
Payment Processing !
KYC/AML Engine ! !
Customer Portal
Tested ≤12mo Scheduled ! Gap
Testprogram

CIF-dekningsmatrise

Hver rad er en CIF-funksjon. Hver kolonne er én av de syv DORA-testtypene. Grønn betyr testet de siste 12 måneder, gul er planlagt, rød er gap.

  • Alle 7 testtyper: sårbarhetsskanning, åpen kilde-analyse, penetrasjonstest, scenariotest, BCP, DR, TLPT
  • Rullerende 12-månedersvindu — gap flagget automatisk
  • Uavhengig testers navn registrert per test
  • Funnregister koblet til hvert test
  • CIF-funksjoner hentet direkte fra CIF-registeret
TLPT-sporer · Art. 26–27

TLPT-livssyklussporer

Hvis enheten er påkrevd å kjøre TLPT, sporer denne alle fem fasene: scoping, trusseletterretning, red team-testing, blue team-debrief og endelig attestasjon.

  • 5-fase TLPT-livssyklus per Art. 26 / TIBER-EU
  • Kompetent myndighetsvarsel sporet per engasjement
  • Red team og blue team-omfang registrert
  • Utbedringstiltak logget og sporet etter TLPT
TLPT Tracker · Art. 26
TLPT-2025-001 · Scope: Core Banking + Payment Processing
1
Preparation & Scoping
Completed 2025-01-15 · Authority notified · RED team contracted
Done
2
Threat Intelligence
Completed 2025-02-01 · Threat profile approved by CISO
Done
3
Red Team Testing
In progress · Est. completion 2025-03-20
Active
4
Blue Team Debrief & Closure
Planned · Q2 2025
Pending
5
Attestation & Authority Sign-off
Planned · Q2 2025
Pending
Pilar 4 · Art. 28–44

IKT-risikostyring for tredjeparter

Fem moduler. Leverandørregisteret er der du sporer IKT-leverandører. Derfra kan du sjekke kontraktsklausuler, kjøre due diligence-spørreskjemaer, overvåke konsentrasjonsrisiko og eksportere Register of Information i XBRL/XML-format.

Provider Register · Art. 28(3) · ITS 2024/2956
Total
12
CIF-Supporting
7
CTPP
1
Contract Gaps
3
Exit Plans
5/7
ProviderCountryTypeCIFCTPPContract
Microsoft AzureIE 🇮🇪Cloud IaaSYesYes✓ Complete
FIS GlobalUS 🇺🇸Core BankingYesNo3 Gaps
Nets A/SDK 🇩🇰PaymentYesNo✓ Complete
Bloomberg LPUS 🇺🇸Market DataYesNo1 Gap
Cisco SystemsUS 🇺🇸NetworkNoNo✓ Complete
Leverandørregister

Leverandørregister

Når en leverandør er koblet til en CIF-funksjon, flagges DORA-forpliktelsene automatisk: de åtte Art. 30-kontraktsklausulene, exitplankravet og LEI-en. Du kan slå opp juridisk enhetsinformasjon via GLEIF.

  • LEI-oppslag via GLEIF fyller leverandørdetaljer automatisk
  • CTPP-utpekingssporing mot ESAs tilsynsliste
  • Kontraktssjekk mot de 8 Art. 30-klausulene
  • Exitstrategistatus per CIF-støttende leverandør
  • Konsentrasjonsrisiko koblet til leverandørvisning
  • CTPP-overvåkingsliste med Art. 31 styreeskaleringssporing
Concentration Risk · Art. 29
% of CIF functions supported — threshold: 40%
Azure / MS
58%
⚠ 58%
FIS Global
42%
⚠ 42%
Nets A/S
25%
25%
Bloomberg
17%
17%
AWS
8%
⚠ 2 providers exceed the 40% concentration threshold — report to management body required (Art. 29)
Vendor Questionnaires
Due diligence questionnaires — sent via email, scored automatically
Microsoft Azure — DORA Template (28Q) 82% — Low Risk
Security Controls
90%
Data Handling
75%
FIS Global — ISO 27001 Template (24Q) 54% — Medium Risk
Incident Response
50%
Business Continuity
58%
Cisco Systems — Cloud Template (20Q) 31% — High Risk
Access Control
30%
Encryption
33%
3 spørreskjemamaler: DORA (28 spm.), ISO 27001 (24 spm.), Cloud (20 spm.) · Leverandører fyller ut via et tokensikret offentlig skjema, ingen innlogging nødvendig
Arbeidsflyt og rapportering

Styrerapporter, revisjonslogger og eksport

Styrerapporten genereres fra live-data – ingen kopiering av tall til presentasjoner. Revisjonsloggen registrerer hver endring med tidsstempel og brukernavn.

Board Report — Auto-generated
DORA Compliance Report — Q1 2025
For Management Body · Confidential
Generated: 2025-03-05
DORA GRC Platform
Executive Summary
73%
Overall Score
2
Critical Risks
1
Major Incident
67%
Test Coverage
Pillar Status
① Governance
82%
② Risk
68%
③ Testing
55%
④ Third Party
71%
Audit Log
Tamper-evident log · All actions attributed to named users
09:42:17 e.larsen Updated risk treatment on R-001 Ransomware → Mitigate
09:38:02 k.dahl Created incident report INC-2025-007
09:21:44 m.bjørns Approved framework document ICT Risk Policy v2.1
08:55:11 e.larsen Added provider Cisco Systems to Provider Register
08:30:00 system Sent vendor questionnaire to [email protected] (VQ-004)
JSON export User attribution Tamper-evident RBAC
📊

Styrerapport

Henter live-data fra alle fire pilarer til en styreklart rapport. Generer den når som helst – skårer, åpne risikoer, aktive hendelser og hva som har endret seg.

Oppgavebehandler

Tildel oppgaver til teammedlemmer, koble dem til spesifikke risikoer eller hendelser, og sett forfallsdatoer. Forsinkede oppgaver vises på dashboardet.

Dataeksport

Eksporter alle registre som en tidsstemplet, brukerattribuert JSON-fil for eksterne revisorer. Register of Information eksporteres i XBRL/XML-format for direkte innsending under ITS 2024/2956.

  • Dokumentarkiv for R2-støttet bevislagring
EU CRA · 2024/2847

EU Cyber Resilience Act

Spor produktsikkerhetsforpliktelser, administrer sårbarhetsvarsling til ENISA, vedlikehold Annex I-sjekklister, og generer programvarefortegnelser for hvert produkt med digitale elementer.

Produktsikkerhet

Produktregister

Katalogiser hvert produkt med digitale elementer, tildel samsvarsvurderingstyper, spor autoriserte representanter, og koble til SBOM-komponenter. Hvert produkt kobles til sin Annex I-sjekkliste for gapsporing.

  • Produktklassifisering med samsvarsvurdering
  • Sporing av autorisert representant og teknisk kontrollorgan
  • Koblet Annex I-sjekkliste per produkt
  • SBOM-komponentoversikt med CSV-eksport
app.doragrc.com / cra-products
IDProductCategoryConformityStatus
PRD-001Payment Gateway v3Class ISelf-assessmentCompliant
PRD-002Mobile Banking SDKClass IIThird-partyIn Progress
PRD-003API Security ModuleClass ISelf-assessmentCompliant
Sårbarhetshåndtering

Sårbarhetssporing

Logg sårbarheter med ENISA-rapporteringsfristsporing. Nedtellingsmerker viser 24-timers, 72-timers og 14-dagers varslingsvinduer. Spor brukervarsler, markedstilsynsmeldinger og datoer for offentlig avsløring.

  • ENISA 24t / 72t / 14d nedtellingsmerker for frister
  • Sporing av aktiv utnyttelse og offentlig avsløring
  • Art. 14(3)(8) varslings- og myndighetslogg
  • Koblet til produktregister og SBOM-komponenter
app.doragrc.com / cra-vulnerabilities
IDProductSeverityENISAStatus
CVR-001Payment Gateway v3CriticalReportedPatched
CVR-002Mobile Banking SDKHigh72h: 18h leftInvestigating
CVR-003API Security ModuleMediumReportedResolved
EU AI Act · 2024/1689

EU AI Act-etterlevelse

Registrer AI-systemer med automatisk risikonivåklassifisering, spor etterlevelse på tvers av åtte regulatoriske pilarer, gjennomfør strukturerte risikovurderinger per Art. 9, og før hendelseslogg og tilsynslogg.

AI-styring

AI-systemoversikt

Registrer hvert AI-system med sin Annex III-kategori, og plattformen klassifiserer automatisk risikonivået. Spor leverandørdetaljer, distribusjonsdatoer og vurderingsstatus fra én oversikt.

  • Automatisk risikonivåklassifisering fra Annex III
  • Åtte-pilars etterlevelsesdashboard per system
  • Femstegs risikovurderingsveiviser (Art. 9)
  • Vurderingsversjonering med signering og låsing
app.doragrc.com / ai-systems
IDSystemRisk TierAssessmentStatus
AIS-001Credit Scoring ModelHighAssessedActive
AIS-002Fraud Detection EngineHighIn ProgressActive
AIS-003Customer ChatbotLimitedAssessedActive
Overvåking

Hendelser og tilsyn

Logg AI-relaterte hendelser med 15-dagers fristsporing for alvorlige hendelser. Før tilsynslogg for menneskelige gjennomgangsaktiviteter, revisjoner og regulatorisk samhandling med full revisjonssti.

  • 15-dagers fristsporing for alvorlige hendelser
  • Hendelsesklassifisering etter alvorlighetsgrad og type
  • Tilsynslogg for revisjoner og gjennomganger
  • FRIA (konsekvensanalyse for grunnleggende rettigheter) i veiviseren
app.doragrc.com / ai-incidents
IDSystemTypeDeadlineStatus
AII-2026-001Credit ScoringSerious8d leftInvestigating
AII-2026-002Fraud DetectionPerformanceResolved
AII-2026-003Customer ChatbotBiasMitigated
Prøv det selv

Vil du se det med dine egne data?

De fleste team får kjernemoduler satt opp i første uke. Ingen implementeringspartner, ingen langvarig onboarding.

Gå til plattformen → Se priser