FRAMEWORK .legal | DORA Framework

DORA compliance framework dashboard med IKT-risikostyring, hændelsesrapportering, resiliens-testning og tredjepartsovervågning til finansielle enheder

+400 virksomheder bruger .legal

DORA framework showing the five pillars: ICT risk management, incident reporting, resilience testing, third-party risk management and information sharing

DORA FRAMEWORK Et komplet framework for digital operationel resiliens

Digital Operational Resilience Act (DORA) er en EU-forordning, der stiller ensartede krav til IKT-sikkerhed på tværs af den finansielle sektor. Vi har kortlagt alle krav fra de fem kernepiller i klare, handlingsorienterede frameworks med automatiseret compliance-tracking og integration med dine eksisterende sikkerhedsstandarder.

Komplet DORA-framework, der dækker alle fem piller for digital operationel resiliens
Vælg kun de krav, der gælder for din enhedstype – proportional compliance
Realtids compliance-tracking viser præcist, hvor du står med DORA
Genbruger eksisterende ISO 27001-, NIS2- og GDPR-opgaver – undgå dobbeltarbejde

DORA Framework DORAs fem kernepiller:

Vores DORA Framework dækker hele forordningen, struktureret omkring de fem piller, der udgør fundamentet for digital operationel resiliens for finansielle enheder.

Pille 1: IKT-risikostyring (artikel 5–16)

Omfattende governance-ramme til at identificere, beskytte mod, opdage, reagere på og genoprette efter IKT-relaterede forstyrrelser. Omfatter krav til IKT-risikostyringspolitikker, strategier for digital operationel resiliens og forretningskontinuitetsplaner.
Pille 2: IKT-hændelsesrapportering (artikel 17–23)

Standardiseret hændelsesklassificering, notifikationsprocedurer og rapporteringsfrister. Finansielle enheder skal klassificere IKT-relaterede hændelser, rapportere større hændelser til kompetente myndigheder og frivilligt rapportere væsentlige cybertrusler.
Pille 3: Digital operationel resiliens-testning (artikel 24–27)

Krav til testning af IKT-systemer, herunder sårbarhedsvurderinger, netværkssikkerhedstests og for væsentlige enheder trusselsbaseret penetrationstestning (TLPT) mindst hvert tredje år.
Pille 4: IKT-tredjepartsrisikostyring (artikel 28–44)

Ramme for styring af risici fra IKT-tredjepartsudbydere. Omfatter kontraktkrav, vurdering af koncentrationsrisiko og EU's tilsynsramme for kritiske IKT-tredjepartsudbydere.
Pille 5: Informationsdeling (artikel 45)

Frivillige ordninger til udveksling af cybertrusselsinformation mellem finansielle enheder for at styrke den kollektive digitale operationelle resiliens.

DORA covered financial entities including banks, insurance companies, investment firms, payment institutions, crypto-asset service providers and ICT third-party providers

DORA FRAMEWORK Tilpas din DORA-compliance-strategi

DORA gælder for stort set alle regulerede finansielle enheder i EU, men kravene er proportionale med størrelsen, risikoprofilen og kompleksiteten af den enkelte enhed. Tilpas din compliance-tilgang effektivt:

Sådan designer du dit DORA-framework:

Identificér din enhedstype og gældende proportionalitetsniveau
Kortlæg relevante regulatoriske tekniske standarder (RTS) til dine operationer
Fokusér på de piller, der er mest kritiske for din risikoprofil
Vurdér IKT-koncentrationsrisiko og tredjepartsafhængigheder

DORA Framework Hvem skal overholde DORA?

DORA gælder for 21 kategorier af finansielle enheder, herunder banker, forsikrings- og genforsikringsselskaber, investeringsselskaber, betalingsinstitutter, e-pengeinstitutter, kryptoaktivtjenesteudbydere, værdipapircentraler, kreditvurderingsbureauer, crowdfundingplatforme og fondsforvaltere. Den dækker også IKT-tredjepartsudbydere, der leverer tjenester til finansielle enheder, herunder cloud-udbydere og dataanalyseudbydere.

Proportionalitetsprincippet: Mikrovirksomheder (færre end 10 ansatte og omsætning/balancesum under 2 mio. euro) nyder godt af en forenklet IKT-risikostyringsramme under artikel 16, mens væsentlige enheder har yderligere krav som f.eks. trusselsbaseret penetrationstestning.

DORA framework integration with ISO 27001, NIS2, GDPR and EBA guidelines showing overlapping compliance requirements

DORA FRAMEWORK Udnyt synergier med eksisterende compliance-frameworks

DORA Frameworket integrerer problemfrit med dine eksisterende compliance-programmer. Mange finansielle enheder har allerede ISO 27001-certificering eller overholder NIS2 – DORA bygger videre på disse fundamenter:

Framework-synergier:

Eksisterende sikkerhedskontroller opfylder flere DORA-krav samtidigt
Dokumentation og processer kan genbruges på tværs af frameworks
Investering i ét framework styrker compliance på flere fronter
60–70 % overlap med ISO 27001 og NIS2 reducerer implementeringsindsatsen

Læs mere om Frameworks

Eksempler på overlappende frameworks:

ISO 27001

Informationssikkerhedsstyring og risikovurderingsprocesser passer direkte til DORAs krav til IKT-risikostyring. Annex A-kontroller dækker mange af de samme tekniske og organisatoriske foranstaltninger, som DORA kræver.
Gå til framework
NIS2

Krav til netværks- og informationssikkerhed overlapper markant med DORAs hændelsesrapporterings- og risikostyringspiller. Finansielle enheder, der er omfattet af begge, kan udnytte fælles kontroller og rapporteringsprocesser.
Gå til framework
GDPR

Databeskyttelse og underretningspligt ved brud supplerer DORAs krav til hændelsesrapportering. Sikkerhed ved behandling under GDPR er i overensstemmelse med DORAs IKT-sikkerhedsforanstaltninger.
Gå til framework

Vores kunder

+400

virksomheder

+10.000

brugere

+79.000

kontrakter

+14.000

behandlingsaktiviteter

Bech-Bruun

Mikkel Friis Rossa (Partner)

.legal’s team har konsekvent udvist et engagement i innovation, samtidig med at de har været imødekommende over for vores fælles klienters behov.

Fenerum

Rasmus Boutrup (Financial Controller)

Se case

Med .legal har vi fået en mere simpel og overskuelig løsning, der passer bedre til vores behov

Lægeforeningen

Michael Berner (Advokat)

.legal har været det helt rigtige valg for os. .legal er både professionelle og imødekommende med dygtige medarbejdere.

Molecule Consultancy

Nanna Rodian Christensen ( HR & Operational Manager)

Se case

Det gør for det første, at hele arbejdet ikke ligger et sted (hos mig), og for det andet, at forståelsen for GDPR bliver implementeret ud i organisationen.

Bech-Bruun

Mikkel Friis Rossa (Partner)

.legal’s team har konsekvent udvist et engagement i innovation, samtidig med at de har været imødekommende over for vores fælles klienters behov.

Fenerum

Rasmus Boutrup (Financial Controller)

Se case

Med .legal har vi fået en mere simpel og overskuelig løsning, der passer bedre til vores behov

Lægeforeningen

Michael Berner (Advokat)

.legal har været det helt rigtige valg for os. .legal er både professionelle og imødekommende med dygtige medarbejdere.

Molecule Consultancy

Nanna Rodian Christensen ( HR & Operational Manager)

Se case

Det gør for det første, at hele arbejdet ikke ligger et sted (hos mig), og for det andet, at forståelsen for GDPR bliver implementeret ud i organisationen.

Novicell

Julie Oxenvad (Legal Consultant)

Se case

Vi er glade for skiftet til .legal – det har styrket vores compliance-arbejde, gjort processerne lettere at håndtere og mere gennemsigtige, samt forbedret samarbejdet på tværs af teams,

Axel Kaufmann ApS

Julie Lundkvist Andreasen (Jurist og kundeservicechef)

Se case

.legal opdaterer løbende platformen for at sikre, at deres kunder altid kan være compliant. I vores øjne ville ethvert andet valg være et skridt tilbage.

DMJX

Kaspar Rocholz (GDPR-koordinator)

Se case

.legal har virkelig forstået, hvad det vil sige at skabe en brugervenlig og effektiv løsning. Privacy er et attraktivt produkt i forhold til pris og funktionalitet.

Min By Media

Tinna Schultz (HR-chef)

Se case

Det fungerer bare! Det er så nemt og brugervenligt, og oversigten over behandlingsaktiviteter, er genial.

Novicell

Julie Oxenvad (Legal Consultant)

Se case

Vi er glade for skiftet til .legal – det har styrket vores compliance-arbejde, gjort processerne lettere at håndtere og mere gennemsigtige, samt forbedret samarbejdet på tværs af teams,

Axel Kaufmann ApS

Julie Lundkvist Andreasen (Jurist og kundeservicechef)

Se case

.legal opdaterer løbende platformen for at sikre, at deres kunder altid kan være compliant. I vores øjne ville ethvert andet valg være et skridt tilbage.

DMJX

Kaspar Rocholz (GDPR-koordinator)

Se case

.legal har virkelig forstået, hvad det vil sige at skabe en brugervenlig og effektiv løsning. Privacy er et attraktivt produkt i forhold til pris og funktionalitet.

Min By Media

Tinna Schultz (HR-chef)

Se case

Det fungerer bare! Det er så nemt og brugervenligt, og oversigten over behandlingsaktiviteter, er genial.

.legal Compliance Hub

Læs alt om .legals compliance på vores compliance hub.

ISAE 3402

Få en kopi af .legal A/S' seneste ISAE3402 (type 2) it-sikkerhedserklæring

ISAE 3402-erklæring
ISAE 3000

Få en kopi af .legal A/S' seneste ISAE3000 (type 2) erklæring om vores GDPR-compliance

ISAE 3000-erklæring
Databehandleraftale (DPA)

Find .legal A/S' databehandleraftale her.

Databehandleraftale
It-sikkerhed

Alle .legal A/S' implementerede og godkendte it-sikkerhedsforanstaltninger er beskrevet her.

It-sikkerhedsforanstaltninger

Hvad er DORA (Digital Operational Resilience Act)?

DORA er en EU-forordning (2022/2554), der stiller ensartede krav til IKT-sikkerhed på tværs af den finansielle sektor. Den trådte i kraft den 16. januar 2023 og har fundet anvendelse siden 17. januar 2025. I modsætning til et direktiv er DORA direkte gældende i alle EU-medlemsstater uden national implementering.

Hvem skal overholde DORA?

DORA gælder for 21 kategorier af finansielle enheder, herunder banker, forsikringsselskaber, investeringsselskaber, betalingsinstitutter, e-pengeinstitutter, kryptoaktivtjenesteudbydere, værdipapircentraler, kreditvurderingsbureauer, crowdfundingplatforme og fondsforvaltere. Den dækker også IKT-tredjepartsudbydere, der leverer tjenester til finansielle enheder.

Hvad er DORAs fem piller?

DORA er bygget på fem piller: (1) IKT-risikostyring – governance-ramme for styring af IKT-risici, (2) IKT-hændelsesrapportering – standardiseret klassificering og rapportering af større hændelser, (3) Digital operationel resiliens-testning – herunder trusselsbaseret penetrationstestning for væsentlige enheder, (4) IKT-tredjepartsrisikostyring – kontrakt- og tilsynskrav for IKT-udbydere, og (5) Informationsdeling – frivillig udveksling af cybertrusselsinformation.

Hvordan hænger DORA sammen med NIS2 og ISO 27001?

DORA har et betydeligt overlap med både NIS2 og ISO 27001. Organisationer med ISO 27001-certificering har typisk 60–70 % af DORA-kravene allerede dækket. NIS2's krav til hændelsesrapportering og risikostyring stemmer også tæt overens med DORAs piller. Finansielle enheder, der er omfattet af både DORA og NIS2, kan udnytte fælles kontroller og rapporteringsprocesser.

Hvad er proportionalitetsprincippet under DORA?

DORA stiller krav, der er proportionale med en enheds størrelse, risikoprofil og kompleksitet. Mikrovirksomheder med færre end 10 ansatte og en omsætning eller balancesum under 2 mio. euro nyder godt af en forenklet IKT-risikostyringsramme under artikel 16. Væsentlige enheder har yderligere krav som obligatorisk trusselsbaseret penetrationstestning hvert tredje år.

Hvad er sanktionerne for manglende overholdelse af DORA?

DORA giver kompetente myndigheder beføjelser til at pålægge administrative sanktioner og korrigerende foranstaltninger. For kritiske IKT-tredjepartsudbydere kan EU's tilsynsramme pålægge periodiske tvangsbøder på op til 1 % af den gennemsnitlige daglige globale omsætning. Medlemsstaterne kan fastsætte yderligere sanktioner gennem national lovgivning.

+400 virksomheder bruger .legal