Rådet har vedtaget DORA, som harmoniserer kravene til digital operationel modstandsdygtighed i hele den finansielle sektor. Forordningen pålægger finansielle virksomheder at indføre styring af IKT-risici, gennemføre regelmæssig test og etablere ensartet hændelsesrapportering, samt sikre passende kontraktvilkår ved IKT-udlicitering. Kravene gælder på tværs af finansielle aktører og deres koncerner.
Tilsyn og krav til kritiske IKT-leverandører
DORA udvider det finansielle tilsyn til også at omfatte væsentlige tredjepartsleverandører. Cloud- og dataanalyseudbydere kan udpeges som kritiske og blive underlagt direkte tilsyn via en fælles EU-ramme.
Forordningen skærper kravene til leverandørstyring, herunder adgangs-, audit- og exitrettigheder i kontrakter. Den indfører desuden scenariobaserede og trusselsledte test af net- og informationssystemer, så modstandskraft og genopretning kan dokumenteres over for tilsynsmyndighederne.
