DORA

DORA (Digital Operational Resilience Act) er EU's forordning om digital operationel robusthed for den finansielle sektor. Forordningen stiller krav til IKT-risikostyring, hændelsesrapportering, robusthedstestning og styring af risici fra IKT-tredjeparter. Den er gældende fra 17. januar 2025.

Tilbage til ordbog

Indholdsfortegnelse

    Hvad er DORA?

    DORA (forordning (EU) 2022/2554) er EU's forordning om digital operationel robusthed for den finansielle sektor. Den etablerer en omfattende ramme for at sikre, at finansielle enheder kan modstå, reagere på og komme sig over alle typer af IKT-relaterede forstyrrelser og trusler.

    I modsætning til et direktiv er DORA en forordning og derfor direkte gældende i alle EU-medlemsstater uden behov for national gennemførelse. Den har været gældende siden 17. januar 2025 og erstatter et kludetæppe af nationale regler og retningslinjer med et enkelt, harmoniseret sæt krav.

    Hvem er underlagt DORA?

    DORA gælder for en bred vifte af finansielle enheder, herunder:

    • Banker og kreditinstitutter
    • Betalingsinstitutter og e-pengeinstitutter
    • Investeringsselskaber og handelsplatforme
    • Forsikrings- og genforsikringsselskaber
    • Pensionskasser (IORP'er)
    • Udbydere af kryptoaktivtjenester
    • Værdipapircentraler og centrale modparter
    • IKT-tredjepartsleverandører udpeget som kritiske

    DORA's fem søjler

    DORA er struktureret omkring fem kernesøjler, der tilsammen udgør en omfattende ramme for digital operationel robusthed:

    • IKT-risikostyring: Finansielle enheder skal etablere og vedligeholde en robust ramme for IKT-risikostyring, herunder governance-arrangementer, risikoidentifikation, beskyttelse, detektion og responskapaciteter.
    • Hændelsesrapportering: Væsentlige IKT-relaterede hændelser skal klassificeres og rapporteres til den kompetente myndighed inden for de foreskrevne tidsfrister ved hjælp af harmoniserede skabeloner.
    • Robusthedstestning: Enheder skal gennemføre regelmæssig testning af deres IKT-systemer, herunder trusselsstyret penetrationstest (TLPT) for betydelige enheder.
    • Tredjepartsrisikostyring: DORA indfører krav til styring af IKT-tredjepartsrisiko, herunder centrale kontraktbestemmelser, et register over oplysninger om IKT-tredjepartsarrangementer og en tilsynsramme for kritiske tredjepartsleverandører.
    • Informationsdeling: Finansielle enheder opfordres til at udveksle cybertrusselsefterretninger og information indbyrdes for at styrke den kollektive robusthed.

    DORA vs NIS2

    DORA og NIS2 adresserer begge cybersikkerhed, men de gælder for forskellige sektorer og med forskellig specificitet. DORA er lex specialis for den finansielle sektor, hvilket betyder, at hvor DORA stiller specifikke krav, har disse forrang over de generelle NIS2-krav. Finansielle enheder underlagt DORA anses generelt for at opfylde de tilsvarende NIS2-forpligtelser.


    Allerede gældende:     DORA har været gældende siden 17. januar 2025. Finansielle enheder og deres kritiske IKT-tredjepartsleverandører skal allerede overholde alle krav. Tilsynsmyndighederne er begyndt at udøve deres tilsynsbeføjelser i henhold til forordningen.

    Ofte stillede spørgsmål om dora

    Hvad er DORA?

    DORA (Digital Operational Resilience Act) er EU-forordning 2022/2554 om digital operationel robusthed for den finansielle sektor. Den stiller krav til IKT-risikostyring, hændelsesrapportering, robusthedstestning, tredjepartsrisikostyring og informationsdeling.

    Hvornår trådte DORA i kraft?

    DORA trådte i kraft den 16. januar 2023 og har været gældende siden 17. januar 2025. Som en forordning er den direkte gældende i alle EU-medlemsstater uden behov for national gennemførelse.

    Hvem skal overholde DORA?

    DORA gælder for en bred vifte af finansielle enheder, herunder banker, betalingsinstitutter, investeringsselskaber, forsikringsselskaber, pensionskasser, udbydere af kryptoaktivtjenester og kritiske IKT-tredjepartsleverandører.

    Hvad er DORA's fem søjler?

    DORA er bygget op omkring fem søjler: IKT-risikostyring, IKT-relateret hændelsesrapportering, testning af digital operationel robusthed, styring af IKT-tredjepartsrisiko og informationsdelingsordninger mellem finansielle enheder.

    Hvordan forholder DORA sig til NIS2?

    DORA er lex specialis for den finansielle sektor: hvor DORA stiller specifikke krav, har disse forrang over de generelle NIS2-krav. Finansielle enheder underlagt DORA anses generelt for at opfylde de tilsvarende NIS2-forpligtelser.

    +400 virksomheder bruger .legal
    Region Sjælland
    Aarhus Universitet
    aj_vaccines_logo
    Realdania
    Right People
    IO Gates
    PLO
    Finans Danmark
    geia-food
    Vestforbrænding
    Evida
    Klasselotteriet
    NRGI1
    BLUE WATER SHIPPING
    Karnov
    VP Securities
    AH Industries
    Ingvard Christensen
    Lægeforeningen
    InMobile
    AK Nygart
    DEIF
    DMJX
    KAUFMANN (1)
    qUINT Logo
    Axel logo
    SMILfonden-logo
    skodsborg_logo-1
    nemlig.com
    Molecule Consultancy
    Novicell
    Footer topswirl

    Info

    .legal A/S

    hello@dotlegal.com
    +45 7027 0127

    CVR: 40888888

    Support

    support@dotlegal.com
    +45 7027 0127
    Brug for hjælp?

     

    Kontor

    Aarhus

    Store Torv 14, 2. sal
    8000 Aarhus C

    Vi går op i sikkerhed

    Download vores erklæringer:

    ISAE 3000

    ISAE 3402

    Moduler

    Lad mig hjælpe jer i gang

    joa i blob
    Jeg står klar til at hjælpe jer i gang. Fang mig på +45 7027 0127
    arrow-right-white Få en demo

    .legal er ikke en advokatvirksomhed og er derfor ikke under tilsyn af Advokatrådet.

    Footer bottomswirl