DORA indfører ensartede EU-krav til digital operationel robusthed på tværs af sektorer, med størst effekt i finans. For FAIF’er og investeringsforvaltningsselskaber skærpes kravene til governance, transparens og rapportering, og investorrettet kommunikation på telefon, mail, sociale medier og hjemmesider skal håndteres under klare sikkerheds- og kontrolrammer.
Virksomheder skal etablere et fuldt dækkende rammeværk for IKT-risikostyring, der kombinerer politikker, tekniske og organisatoriske kontroller samt uddannelse. Løbende overvågning af systemer og systematiske processer for klassifikation, inddæmning og afhjælpning af hændelser er påkrævet, ligesom hurtig underretning af relevante myndigheder. Regelmæssige test og evalueringer skal dokumentere, at foranstaltningerne virker.
DORA skærper også styringen af eksterne IKT-leverandører. Outsourcing-aftaler skal indeholde minimumskrav til tjenestekvalitet, audit- og adgangsrettigheder, informationssikkerhed, beredskab samt exit-strategier. Regimet supplerer de eksisterende regler for outsourcing og delegation for visse finansielle virksomheder.
Detaljer udmøntes i regulatoriske og implementeringsmæssige tekniske standarder (RTS/ITS) samt retningslinjer, der gradvist præciserer kravene frem mod anvendelsen. Proportionalitet er central: kravene tilpasses virksomhedens størrelse, kompleksitet, risikoprofil og kritiske funktioner.
Praktisk bør omfanget af krav identificeres gennem en gap-analyse, efterfulgt af opdatering af politikker, it-governance og rapporteringsflows, samt genforhandling af kontrakter med IKT-leverandører. For FAIF’er og IFS’er bliver samspillet mellem robust risikostyring, leverandørstyring og rettidig hændelsesrapportering afgørende for efterlevelse.
