DORA er EU's forordning om digital operationel modstandsdygtighed i den finansielle sektor. Forordningen stiller ensartede krav til, hvordan finansielle virksomheder styrer IKT-risici, og den gælder direkte i alle medlemslande uden national implementering.
Hvad er DORA?
DORA (Regulation (EU) 2022/2554) skal sikre, at den finansielle sektor kan modstå, reagere på og komme sig efter IKT-relaterede forstyrrelser og trusler. Da DORA er en forordning og ikke et direktiv, gælder reglerne direkte fra den 17. januar 2025 uden omsætning til dansk lov.
Forordningen samler krav, der tidligere lå spredt, i ét regelsæt for digital modstandsdygtighed. Formålet er, at finansielle virksomheder kan opretholde kritiske funktioner, selv når it-systemer er under pres. I Danmark fører Finanstilsynet tilsyn med DORA.
Hvem er omfattet af DORA?
DORA omfatter en bred kreds af finansielle virksomheder, herunder banker, forsikringsselskaber, investeringsselskaber, betalingsinstitutter og udbydere af kryptoaktivtjenester. Forordningen omfatter desuden de kritiske tredjeparts-IKT-leverandører, som de finansielle virksomheder er afhængige af.
Det betyder, at også it- og cloud-leverandører til den finansielle sektor i praksis berøres af DORA, fordi deres kunder skal stille konkrete krav til dem gennem hele leverandørforholdet.
Hvilke krav stiller DORA?
DORA hviler på fem søjler: styring af IKT-risici, håndtering og rapportering af IKT-hændelser, test af digital operationel modstandsdygtighed, styring af risici ved tredjeparts-IKT-leverandører samt deling af information om trusler.
I praksis kræver det blandt andet skriftlige aftaler med specifikke sikkerhedsklausuler, løbende risikovurdering, registrering af kritiske leverandører og test af modstandsdygtighed. Ledelsen har det overordnede ansvar for styringen af IKT-risici.
NIRAS rådgiver om risikostyring, leverandørstyring og forretningskontinuitet og hjælper med at omsætte DORA-kravene til konkrete procedurer.
Ofte stillede spørgsmål om DORA
Hvem er omfattet af DORA?
DORA omfatter finansielle virksomheder som banker, forsikringsselskaber, investeringsselskaber og betalingsinstitutter samt deres kritiske tredjeparts-IKT-leverandører. Også it- og cloud-leverandører til sektoren berøres derfor i praksis.
Hvad er forskellen på DORA og NIS2?
DORA er en forordning, der gælder direkte for den finansielle sektor. NIS2 er et direktiv, der dækker cybersikkerhed bredt på tværs af kritiske sektorer. Finansielle virksomheder følger primært DORA på IKT-området.
Hvad er DORA's fem søjler?
DORA bygger på fem søjler: styring af IKT-risici, håndtering og rapportering af IKT-hændelser, test af digital operationel modstandsdygtighed, styring af tredjeparts-IKT-risici og deling af information om trusler.
Hvad kræver DORA af IKT-leverandører?
DORA kræver, at finansielle virksomheder styrer risici ved deres IKT-leverandører gennem hele leverandørforholdet. Det betyder skriftlige aftaler med sikkerhedsklausuler, løbende risikovurdering, registrering af kritiske leverandører og test af modstandsdygtighed.
Hvornår trådte DORA i kraft?
DORA gælder direkte i alle EU-lande fra den 17. januar 2025. Da DORA er en forordning, kræver den ingen national implementering. I Danmark fører Finanstilsynet tilsyn med forordningen.
