Her er hva DORA GRC inneholder — alle moduler på tvers av de fire pilarene, med skjermbilder som viser hvordan det ser ut i praksis. Ingen demo-samtaler nødvendig.
Når du logger inn ser du compliance-status, åpne risikoer, aktive hendelser og testgap – alt på én skjerm. En onboarding-sjekkliste hjelper deg i gang med de første stegene.
Tildel roller, bygg trebelt policyhierarki, registrer kritiske funksjoner og spor aktiva. 7 moduler som dekker Art. 5–9.
Risikoregister, trusselsenarier, bowtie-analyse, kontrollbibliotek og fullstendig hendelseslivssyklus fra første innlogging til regulatorisk rapport.
Dekningsmatrisen viser hvilke CIF-funksjoner som er testet og hvilke har gap. Separat TLPT-modul for enheter som må gjennomføre TLPT.
Spor leverandører, sjekk kontrakter, marker konsentrasjonsrisiko, send due diligence-spørreskjemaer og eksporter Register of Information.
Syv moduler som dekker styringsroller, IKT-policystruktur, klassifisering av kritiske funksjoner, aktivainventar, forretningskonsekvenser og compliance-rapportering.
| Role | Name | DORA Art. | Review | Status |
|---|---|---|---|---|
| CISO | E. Larsen | Art. 5(2)(a) | 2025-03-01 | Active |
| CIO | M. Bjørnsen | Art. 5(2)(b) | 2025-03-01 | Active |
| DPO | A. Strand | Art. 5(2)(c) | 2025-06-15 | Review Due |
| ICT Risk Officer | K. Dahl | Art. 5(2)(f) | 2025-03-15 | Active |
| Board Member (ICT) | P. Eriksen | Art. 5(2)(j) | 2025-09-01 | New |
Knytt hver Art. 5-forpliktelse til en navngitt person med en gjennomgangsdato. Forfallne gjennomganger flagges på dashboardet – du oppdager det før en revisor gjør det.
DORA og RTS 2024/1774 krever tre nivåer IKT-dokumentasjon. Modulen viser hva som er på plass, hva som er godkjent og hva som mangler – inkludert en dekningsgrad du kan vise til revisorer.
| Document | Level | Owner | Status |
|---|---|---|---|
| ICT Risk Policy | L1 | Board | Approved |
| Cybersecurity Guidelines | L2 | CISO | Approved |
| Patch Management Routine | L3 | Ops Lead | In Review |
| Incident Response Procedure | L3 | SOC Lead | Gap |
| Function | Criticality | Provider | Outsourced | RTO |
|---|---|---|---|---|
| Core Banking | Critical | FIS Global | Yes | 4h |
| Payment Processing | Critical | Nets A/S | Yes | 2h |
| KYC/AML Engine | Important | Internal | No | 8h |
| Customer Portal | Important | AWS | Yes | 1h |
| Market Data Feed | Critical | Bloomberg | Yes | 30m |
Når du klassifiserer funksjoner som kritiske eller viktige, kobles testgap, leverandørkrav og alvorlighetskriterier for hendelser automatisk til dem. Du registrerer det én gang – resten henger sammen av seg selv.
Ni moduler som dekker risikovurdering, trusselsenarier, kontroller, varmekart, bowtie-analyse og fullstendig hendelseslivssyklus.
| Risk ID | Description | Score | Treatment | Decision |
|---|---|---|---|---|
R-001 | Ransomware — core banking | 20 Crit | Mitigate | ⚠ Exceeds |
R-002 | Cloud outage — customer portal | 15 High | Transfer | ✓ Within |
R-003 | Insider threat — privileged access | 16 Crit | Mitigate | ⚠ Exceeds |
R-004 | API key exposure | 12 High | Mitigate | ✓ Within |
Hvert risiko kan ha et Bowtie-diagram: trusler til venstre, konsekvenser til høyre og kontrollene mellom dem. Nyttig for å forklare komplekse risikosenarier til et styre.
Klassifiseringsveiviseren vurderer hendelsen mot Art. 18-kriteriene og avgjør om den er stor, betydelig eller mindre. Store hendelser utløser rapporteringsprosessen med de riktige ITS 2024/2956-malene.
To moduler. Testprogrammet henter CIF-funksjoner og sporer hvilke testtyper som er kjørt de siste 12 månedene – gap vises automatisk. TLPT-modulen sporer en femfase-livssyklus.
| CIF Function | Vuln Scan | Open-src | Pen Test | Scen Test | BCP | DR | TLPT |
|---|---|---|---|---|---|---|---|
| Core Banking | ✓ | ✓ | ✓ | ⟳ | ✓ | ! | — |
| Payment Processing | ✓ | ✓ | ⟳ | ! | ✓ | ✓ | — |
| KYC/AML Engine | ✓ | ! | ! | — | ✓ | ✓ | — |
| Customer Portal | ✓ | ✓ | ✓ | ✓ | — | — | — |
Hver rad er en CIF-funksjon. Hver kolonne er én av de syv DORA-testtypene. Grønn betyr testet de siste 12 måneder, gul er planlagt, rød er gap.
Hvis enheten er påkrevd å kjøre TLPT, sporer denne alle fem fasene: scoping, trusseletterretning, red team-testing, blue team-debrief og endelig attestasjon.
Fem moduler. Leverandørregisteret er der du sporer IKT-leverandører. Derfra kan du sjekke kontraktsklausuler, kjøre due diligence-spørreskjemaer, overvåke konsentrasjonsrisiko og eksportere Register of Information i XBRL/XML-format.
| Provider | Country | Type | CIF | CTPP | Contract |
|---|---|---|---|---|---|
| Microsoft Azure | IE 🇮🇪 | Cloud IaaS | Yes | Yes | ✓ Complete |
| FIS Global | US 🇺🇸 | Core Banking | Yes | No | 3 Gaps |
| Nets A/S | DK 🇩🇰 | Payment | Yes | No | ✓ Complete |
| Bloomberg LP | US 🇺🇸 | Market Data | Yes | No | 1 Gap |
| Cisco Systems | US 🇺🇸 | Network | No | No | ✓ Complete |
Når en leverandør er koblet til en CIF-funksjon, flagges DORA-forpliktelsene automatisk: de åtte Art. 30-kontraktsklausulene, exitplankravet og LEI-en. Du kan slå opp juridisk enhetsinformasjon via GLEIF.
Styrerapporten genereres fra live-data – ingen kopiering av tall til presentasjoner. Revisjonsloggen registrerer hver endring med tidsstempel og brukernavn.
Henter live-data fra alle fire pilarer til en styreklart rapport. Generer den når som helst – skårer, åpne risikoer, aktive hendelser og hva som har endret seg.
Tildel oppgaver til teammedlemmer, koble dem til spesifikke risikoer eller hendelser, og sett forfallsdatoer. Forsinkede oppgaver vises på dashboardet.
Eksporter alle registre som en tidsstemplet, brukerattribuert JSON-fil for eksterne revisorer. Register of Information eksporteres i XBRL/XML-format for direkte innsending under ITS 2024/2956.