DORA er en EU-forordning, der stiller skærpede krav til cybersikkerhed for finansielle virksomheder og deres IT- og teknologileverandører.
Vil du vide, hvordan din organisation lever op til kravene i DORA? Læs videre og få overblik over forordningens krav og vores tilgang til implementering.
Digital Operational Resilience Act (DORA) er en EU-forordning vedtaget den 28. november 2022 og trådte i kraft den 17. januar 2025 efter en implementeringsperiode på 24 måneder. DORA er en del af EU’s finansielle cybersikkerhedsramme og omfatter både finansielle virksomheder og deres kritiske IKT-leverandører.
Formålet er at sikre, at finansielle aktører kan modstå, reagere på og komme sig efter alvorlige IT-hændelser. Ligesom NIS2, fokuserer DORA på at beskytte kritisk infrastruktur, men målretter kravene specifikt mod den finansielle sektor og dets teknologiafhængighed.
DORA er skabt for at styrke den digitale og operationelle robusthed i den finansielle sektor. Forordningen skal sikre, at finansielle virksomheder og deres teknologileverandører er bedre rustet til at forebygge, modstå og reagere på cybertrusler og systemnedbrud. Det overordnede formål er:
At forbedre cybersikkerheden og reducere organisationens digitale sårbarheder
At minimere risikoen for alvorlige og omkostningstunge cyberangreb
At effektivisere og standardisere hændelsesrapportering og beredskabsreaktioner
At fremme en risikobaseret tilgang til cybersikkerhed med løbende evaluering
At styrke samarbejdet og informationsdelingen mellem aktører i hele EU
At øge tilliden til finansielle aktører gennem tydelig dokumentation og compliance
DORA gælder for en bred vifte af finansielle aktører og deres IKT-leverandører. Det omfatter blandt andet:
Kreditinstitutter, investeringsselskaber og betalingsinstitutter
Elektroniske pengeinstitutter
Forsikrings- og pensionsselskaber
Værdipapircentraler og kreditvurderingsbureauer
Udbydere af tjenester til crypto-aktiver
Tjenesteudbydere af netværksfinansiering
Tredjepartsudbydere af IT-sikkerhedstjenester og cloudløsninger
Digital Operationel Resilience Act (DORA) bygger på og udvider de eksisterende reguleringsmæssige krav ved at indføre nye forpligtelser for de omfattede organisationer. Selvom mange allerede har en vis erfaring med at håndtere compliance og lovgivningsmæssige krav på både nationalt og internationalt niveau, præsenterer DORA nye krav, som kan være mindre bekendte eller mere omfattende end tidligere.
For at imødekommen forordningen er det vigtigt for finansielle organisationer at anerkende behovet for digital og operationel robusthed. Uanset organisationens nuværende modenhedsniveau er det vigtigt at påbegynde eller intensivere indsatsen for at opbygge denne robusthed. Et godt udgangspunkt er at foretage en GAP-analyse for at identificere eventuelle mangler mellem nuværende processer og de krav, der er stillet i DORA-forordningen.
Hos Leave a Mark har vi erfaring med implementering af flere sikkerhedsstandarder sammen med DORA.
Ønsker I sparring eller hjælp til implementeringen, kan I klikke på nedenstående eller ringe og få en uforpligtende snak med os på +45 535 27000
Vi starter med at analysere, hvordan DORA-forordningen påvirker netop jeres organisation. Gennem workshops og dokumentgennemgang afdækker vi, hvilke forpligtelser I er underlagt. Herefter gennemfører vi en GAP-analyse for at identificere forskellen mellem jeres nuværende cybersikkerhedsniveau og DORA’s krav.
Med afsæt i analysen opbygger vi en struktureret risikostyringsramme. Vi kortlægger jeres systemer, processer og afhængigheder og vurderer deres modstandsdygtighed. På den baggrund udarbejder vi relevante politikker og procedurer, så risici håndteres effektivt – både forebyggende og reaktivt.
Et andet krav i forordningen er gennemførelsen af grundlæggende test af digital operationel robusthed ved hjælp af Threat-Led Penetration Tests (TLPT). Her vil der anvendes TLPT til at evaluere virksomhedens infrastruktur med det formål at identificere og udnytte sårbarheder. Formålet med TLPT er at simulere angreb fra en potentiel hacker.
DORA stiller skærpede krav til styring af eksterne leverandører. Baseret på risikovurderinger af disse, etableres kontrolforanstaltninger og det sikres, at krav til sikkerhed og tilsyn indarbejdes i både eksisterende og fremtidige aftaler. Vi hjælper jer med at få overblik over jeres leverandørkæde og etablere et risikobaseret tilsyn.
Vi implementerer klare procedurer for dokumentation og rapportering af alvorlige hændelser – både internt og eksternt. Det inkluderer etablering af kommunikationskanaler, dokumentationsformater og tidsrammer, som overholder DORA’s krav om hurtig og struktureret indberetning.
Cybersikkerhed er ikke kun en intern disciplin. Derfor rådgiver vi også om, hvordan I bedst etablerer politikker og praksis for at modtage og dele relevant trusselsinformation – både internt i organisationen og i samarbejde med branchefællesskaber og myndigheder.
© 2025 Leave a Mark Consulting Group ApS
CVR: 39411458