Hvad er de fem søjler i DORA?

DORA er bygget op omkring fem centrale søjler: 1) IKT-risikostyring, 2) Hændelseshåndtering og rapportering, 3) Digital resiliens-testning, 4) Tredjepartsrisikostyring, og 5) Informationsdeling. Finansielle enheder skal implementere foranstaltninger inden for alle fem områder.

EU Forordning 2022/2554

DORA: Digital operationel modstandsdygtighed for finanssektoren

Q: Hvem er omfattet af DORA?

DORA omfatter over 20 typer finansielle enheder: banker, forsikringsselskaber, investeringsselskaber, betalingsinstitutter, pensionsfonde, kryptoaktiv-udbydere, handelsplatforme og kritiske IKT-tredjepartsleverandører. Proportionalitetsprincippet betyder, at kravene tilpasses virksomhedens størrelse og risikoprofil.

Q: Hvilke bøder kan pålægges ved manglende DORA-overholdelse?

Finansielle enheder kan få bøder op til 2% af den samlede årlige globale omsætning. Ledelsesmedlemmer kan holdes personligt ansvarlige med bøder op til EUR 1 mio. Kritiske IKT-leverandører (CTPP) kan få bøder op til EUR 5 mio.

DORA-forordningen (Digital Operational Resilience Act) stiller krav til IKT-risikostyring, hændelsesrapportering og resiliens-testning for over 20 typer finansielle enheder. Forordningen har været gældende siden 17. januar 2025.

Book Demo Se risikovurdering

Baggrund

Hvad er DORA?

DORA — Digital Operational Resilience Act (EU 2022/2554) — er en EU-forordning, der etablerer et ensartet regelsæt for digital operationel modstandsdygtighed i den finansielle sektor. Forordningen blev vedtaget i december 2022 og har været direkte gældende i alle EU-lande siden 17. januar 2025.

Som EU-forordning gælder DORA direkte i Danmark uden national implementeringslov. Finanstilsynet er den primære tilsynsmyndighed for danske finansielle virksomheder.

DORA anerkender, at den finansielle sektors stigende afhængighed af IKT-systemer og tredjepartsleverandører kræver en holistisk tilgang til digital resiliens, der går ud over traditionel cybersikkerhed.

Nøglefakta

ForordningEU 2022/2554

I kraft17. januar 2025

TypeDirekte gældende forordning

SektorerFinanssektoren (20+ typer)

MyndighedFinanstilsynet

EU-tilsynEBA, EIOPA, ESMA

Omfang

Hvem er omfattet af DORA?

DORA omfatter over 20 typer finansielle enheder samt deres kritiske IKT-tredjepartsleverandører. Forordningen gælder for stort set alle regulerede aktører i den finansielle sektor — uanset størrelse.

Proportionalitetsprincippet betyder, at kravene tilpasses virksomhedens størrelse, risikoprofil og kompleksitet. Mindre virksomheder har forenklede krav, mens systemisk vigtige institutioner møder de strengeste forpligtelser.

Banker

Forsikring

Investering

Betaling

Pension

Krypto

Handel

IKT-leverandører

Krav

Fem søjler i DORA

DORA er bygget op omkring fem centrale søjler, der tilsammen sikrer en holistisk tilgang til digital operationel modstandsdygtighed. Finansielle enheder skal implementere foranstaltninger inden for alle fem områder.

Ledelsen bærer det endelige ansvar for IKT-risikostyringen og skal godkende strategier, politikker og beredskabsplaner.

IKT-risikostyring: Rammer, politikker, procedurer og værktøjer til at identificere, beskytte, opdage, reagere på og genoprette IKT-risici
Hændelseshåndtering og rapportering: Klassificering, logning og indberetning af væsentlige IKT-relaterede hændelser til Finanstilsynet
Digital resiliens-testning: Regelmæssig testning af IKT-systemer, herunder avanceret trusselsbaseret penetrationstest (TLPT) for systemisk vigtige enheder
Tredjepartsrisikostyring: Overvågning og styring af risici fra IKT-tredjepartsleverandører, herunder kontraktuelle krav og exit-strategier
Informationsdeling: Frivillig udveksling af trusselsinformation mellem finansielle enheder for at styrke sektorens samlede modstandsdygtighed

Hændelsesrapportering

Rapportering af væsentlige IKT-hændelser

Ved væsentlige IKT-relaterede hændelser skal finansielle enheder følge en tretrins rapporteringsmodel til Finanstilsynet:

4 timer

Indledende notifikation efter klassificering af hændelsen

→

72 timer

Midlertidig rapport med forebyggende opdatering og årsagsanalyse

→

1 måned

Endelig rapport med fuldt hændelsesforløb og læring

Sanktioner

Konsekvenser ved manglende overholdelse

DORA giver tilsynsmyndigheder omfattende sanktionsbeføjelser. Finanstilsynet kan pålægge bøder, udstede påbud og i alvorlige tilfælde inddrage tilladelser.

Ledelsesmedlemmer kan holdes personligt ansvarlige for manglende overholdelse af IKT-risikostyringskravene. Kritiske IKT-tredjepartsleverandører overvåges direkte af de europæiske tilsynsmyndigheder (ESA’erne).