Komplett guide til
DORA-forordningen
Alt du trenger å vite om Digital Operational Resilience Act og hvordan din virksomhet kan oppfylle kravene.
Hva er DORA?
Digital Operational Resilience Act (DORA) er en EU-forordning som stiller krav til digital operasjonell motstandsdyktighet i finanssektoren. Forordningen trådte i kraft 17. januar 2025 og gjelder for alle finansforetak i EU/EØS.
Målet er å sikre at finanssektoren kan motstå, reagere på og gjenopprette seg fra alle typer IKT-relaterte forstyrrelser og trusler.
Hvem omfattes av DORA?
DORA gjelder for et bredt spekter av finansforetak og deres kritiske IKT-leverandører.
Banker
Kredittinstitusjoner og investeringsforetak
Forsikring
Forsikrings- og gjenforsikringsforetak
Verdipapir
Verdipapirforetak og forvaltere
Betalingstjenester
Betalingsforetak og e-pengeforetak
Pensjon
Tjenestepensjonsforetak
IKT-leverandører
Kritiske tredjepartsleverandører
DORAs fem pilarer
DORA er bygget opp rundt fem hovedområder som til sammen utgjør et helhetlig rammeverk for digital motstandsdyktighet.
IKT-risikostyring
Etablering av et robust rammeverk for styring av IKT-risiko. Dette inkluderer identifisering, beskyttelse, deteksjon, respons og gjenoppretting. Ledelsen har ansvar for å godkjenne strategier og retningslinjer for IKT-risikostyring.
IKT-hendelseshåndtering
Krav til prosesser for å oppdage, håndtere og rapportere IKT-relaterte hendelser. Alvorlige hendelser må rapporteres til tilsynsmyndigheter innen fastsatte tidsfrister.
Testing av digital motstandsdyktighet
Regelmessig testing av IKT-systemer og prosesser. Inkluderer sårbarhetsvurderinger, penetrasjonstesting og scenariobaserte øvelser. Større foretak må gjennomføre trusselbasert penetrasjonstesting (TLPT).
Tredjepartsrisiko
Strenge krav til håndtering av IKT-tredjepartsleverandører. Inkluderer due diligence, kontraktskrav, løpende overvåking og exit-strategier. Særlig fokus på kritiske leverandører og konsentrasjonsrisiko.
Informasjonsdeling
Frivillig rammeverk for deling av informasjon om cybertrusler mellom finansforetak. Målet er å styrke den kollektive motstandsdyktigheten i finanssektoren gjennom samarbeid og erfaringsutveksling.
Sentrale dokumentasjonskrav
Register of Information (Art. 28)
Komplett oversikt over alle IKT-tredjepartsavtaler med detaljer om tjenester, klassifisering, databehandling og underleverandører.
Risikovurderinger
Dokumenterte risikovurderinger for alle kritiske funksjoner og IKT-systemer, inkludert vurdering av trusler og sårbarheter.
Kontinuitetsplaner
Detaljerte planer for forretningskontinuitet og katastrofegjenoppretting som dekker alle kritiske funksjoner.
Hendelsesrapporter
Rutiner og maler for klassifisering og rapportering av IKT-hendelser til tilsynsmyndigheter innen fastsatte frister.
Slik hjelper Home of Control med DORA
Vår plattform er bygget for å støtte alle aspekter av DORA-compliance.
Leverandørregister
Komplett oversikt over alle IKT-leverandører med klassifisering og risikovurdering.
Risikovurdering
Strukturerte risikovurderinger med scoring, behandlingsplaner og oppfølging.
Hendelseshåndtering
Registrering, klassifisering og rapportering av IKT-hendelser.
Testplanlegging
Planlegging og dokumentasjon av sikkerhetstester og øvelser.
Rapportering
Automatiske rapporter til ledelse og tilsynsmyndigheter.
Kontraktsstyring
Sikre at alle leverandørkontrakter oppfyller DORA-kravene.
Klar for DORA-compliance?
La oss vise deg hvordan Home of Control kan hjelpe din virksomhet med å oppfylle DORA-kravene.