Hvem er omfattet af DORA?
DORA rammer bredt i den finansielle værdikæde: banker og kreditinstitutter, forsikrings- og pensionsselskaber, betalings- og e-pengeinstitutter, fondsmæglere, investeringsforvaltere, kryptoudbydere og en lang række andre finansielle enheder — i alt over 20 kategorier. I Danmark fører Finanstilsynet tilsyn.
Det afgørende nybrud er, at IKT-tredjepartsleverandører trækkes direkte ind: leverer I IT-tjenester til finansielle virksomheder — drift, hosting, software, sikkerhedsovervågning — bliver DORA’s krav jeres virkelighed gennem kontrakterne, og de mest kritiske leverandører kommer under direkte europæisk tilsyn.
Da DORA er en forordning, gælder den umiddelbart i alle medlemslande — i modsætning til direktivet NIS2, som DORA fortrænger på sit område som lex specialis.
DORA’s fem søjler
1. IKT-risikostyring. En dokumenteret ramme med ledelsesforankring: identifikation af kritiske funktioner, beskyttelse, detektion, respons og genopretning. Ledelsesorganet bærer det endelige ansvar.
2. Hændelsesrapportering. Klassificering af IKT-hændelser efter fælles kriterier og indrapportering af større hændelser til Finanstilsynet i tre trin med faste frister.
3. Test af modstandsdygtighed. Et løbende testprogram — sårbarhedsscanninger, penetrationstest med videre — og for de største enheder trusselsbaseret penetrationstest (TLPT) mindst hvert tredje år.
4. Styring af IKT-tredjepartsrisiko. Et register over alle IT-leverandøraftaler, risikovurdering før indgåelse, obligatoriske kontraktbestemmelser (revisionsadgang, exitstrategier, sikkerhedskrav) og særlig skærpelse for kritiske funktioner.
5. Informationsdeling. Frivillige rammer for udveksling af trusselsefterretninger mellem finansielle enheder.
Hvad betyder det i praksis for mindre aktører?
DORA anvender proportionalitet — kravene skaleres efter størrelse og risikoprofil — men ingen er fritaget. For mindre finansielle virksomheder og deres leverandører er de typiske smertepunkter leverandørregistret, kontraktopdateringer og dokumenteret testprogram. Det er overkommeligt med en struktureret tilgang, men umuligt at improvisere ved et tilsynsbesøg.