DORA skærper og harmoniserer kravene til digital operationel robusthed i den europæiske finanssektor. Forordningen finder anvendelse fra 17. januar 2025 og retter sig mod bl.a. kreditinstitutter, betalingsinstitutter, forsikrings- og investeringsselskaber samt finansiel infrastruktur. Hovedsigten er at forebygge og begrænse driftsforstyrrelser og cyberangreb, der kan få systemiske konsekvenser.
Anvendelsesområde og ikrafttræden
DORA er en sektorspecifik EU-forordning, der gælder direkte i medlemsstaterne uden national implementering. Den omfatter finansielle enheder og deres brug af informations- og kommunikationsteknologi, herunder løsninger leveret af tredjepartsudbydere som cloud, software og datacentre.
Forordningen træder i kraft i januar 2025. Virksomheder bør allerede nu planlægge tilpasninger af styringsrammer, kontroller og rapporteringsprocesser for at sikre rettidig efterlevelse.
Centrale krav
Finansielle enheder skal etablere en intern forvaltnings- og kontrolramme for IKT-risikostyring. Ledelsesorganet bærer det endelige ansvar, skal godkende strategier og politikker og løbende opbygge kompetencer, fx gennem målrettet uddannelse.
Hændelser skal opdages, klassificeres og indberettes til kompetent myndighed, efterfulgt af opfølgende og endelig rapportering, når årsagsanalysen er afsluttet. Kravene omfatter også systematisk testning af modstandsdygtighed og mulighed for informationsudveksling om trusler og sårbarheder.
De mest praktiske pligter kan sammenfattes således:
- IKT-risikostyring med dokumenterede strategier, politikker, procedurer og værktøjer.
- Proces for registrering, klassifikation og indberetning af større IKT-hændelser.
- Regelmæssig test af operationel robusthed, herunder tekniske sikkerhedstests.
- Styring af tredjepartsrisici og kontrakter med minimumskrav.
- Faciliteret udveksling af efterretninger om cybertrusler.
Brugen af eksterne IKT-udbydere er underlagt særlige regler. Kontrakter skal opfylde minimumskrav fastsat i DORA, og kritiske udbydere kan blive genstand for særskilt tilsyn, herunder anmodninger om oplysninger, undersøgelser og on-site inspektioner.
Forholdet til NIS2 og tilsyn
DORA supplerer NIS2 ved at indføre målrettede sektorregler for finansområdet. Der lægges op til tæt sammenhæng mellem rammerne, så finansielle tilsynsmyndigheder kan koordinere og udnytte viden om hændelser på tværs af sektorer. Finansielle virksomheder kan endvidere frivilligt orientere relevante NIS2-myndigheder om væsentlige trusler.
Den kompetente myndighed i Danmark fastlægges nationalt. DORA indeholder regler om tilsyn og håndhævelse, som forventes at skærpe kravene til dokumentation, rapportering og løbende forbedring. Tidlig gap-analyse, styrket leverandørstyring og opdaterede hændelsesprocesser er centrale skridt mod compliance.
